Begin april 2014 bleek OpenSSL, een beveiligingsmethode die door vele grote en gerenommeerde websites gebruikt wordt, al 2 jaar lang een groot beveiligingslek te hebben. Het lek is gedoopt in de volgende naam: Heartbleed. Heartbleed is mogelijk één van de grootste en meest kritische beveiligingslek in onze internethistorie. SSL (secure socket layer) wordt namelijk juist gebruikt om beveiligde verbindingen op te zetten waarin privacy gevoelige informatie versleuteld is.
Wat doet OpenSSL
OpenSSL zet een beveiligde verbinding tussen 2 punten op door middel van data versleuteling. Dit proces noemen we data encryptie, en zorgt ervoor dat de verzonden gegevens onleesbaar zijn tenzij de ontvanger de versleutelingscode heeft. OpenSSL gebruikt de extensie heartbeat om de beveiligde datalink te testen, en dit is waar de kwetsbaarheid is gevonden.
Mailservers, VPN verkeer en ook andere apparaten zijn daardoor zeer kwetsbaar.
Heartbeat wordt HeartBleed
Vandaar dat de ontdekkers deze beveiligingslek de naam Heartbleed hebben genoemd. Een aanvaller kan zo van buitenaf het geheugen uitlezen van de applicatie die OpenSSL gebruikt. Geheime sleutels en SSL certificaten kunnen worden ontfutseld. Hierna is het mogelijk om het verkeer via de gehackte SSL verbinding uit te lezen en te ontsleutelen waardoor gevoelige informatie bloot komt te liggen.
Heartbleed stuurt misvormde data naar de server, waardoor deze willekeurige gegevens naar de zender terug zal sturen. Het is niet duidelijk te specificeren welke gegevens de server terug zal sturen, maar als dit proces vaak genoeg herhaald wordt is het mogelijk om wachtwoorden, gebruikers gegevens en zelfs de private master key van de server te achterhalen. Heartbleed stelt hackers dus in staat om, met veel geduld, steeds grotere delen van de datacommunicatie te achterhalen.
Nu het lek bekend is gemaakt hebben de meeste grote instellingen ervoor gezorgd dat deze kwetsbaarheid gedicht is.
Wijzig u wachtwoorden van Facebook, Google, Twitter
Voor uw eigen privacy is het wel belangrijk om de wachtwoorden van bijvoorbeeld facebook, twitter, Google (youtube, gmail) te wijzigen. Deze websites hebben het lek in hun systemen al verholpen, maar wachtwoorden en andere informatie kunnen de afgelopen 2 jaren zijn weggenomen.