Het staat in alle media. Door een bug met de naam Heartbleed zijn wereldwijd wachtwoorden en vertrouwelijke informatie op sites al 2 jaar onveilig. Wat is het probleem en wat kun je doen? Moet je eigenlijk wel wat doen?
Heartbleed. Wat is het probleem?
Heartbleed is een probleem met OpenSSL. Dat is het stukje software code dat een SSL/TLS-beveiliging opzet voor sites. Daarmee worden je vertrouwelijke gegevens, zoals wachtwoorden en creditcardnummers die je ingeeft op een site, versleutelt en beschermt tegen diefstal. SSL kun je zien aan het sleuteltje in de browserbalk: als die er staat (en het internetadres voorafgegaan wordt door https://) is er een SSL-verbinding met de site.
Nu blijkt dat veel sites met SSL sinds mei 2012 kwetsbaar waren door een programmeerfout. Die zit in de functie ‘heartbeat’ van SSL, die beveiligde verbindingen openhoudt terwijl de gebruiker actief is.
Door die fout wordt informatie overhandigd die in het geheugen is opgeslagen: door een heartbeat-verzoek stuurt de server een willekeurig stukje data mee van 64k groot.
Als een hacker dat vaak genoeg doet, kan hij de encryptiesleutels van de server in handen krijgen en het beveiligde verkeer zien. Zo kunnen wachtwoorden, creditcardnummers en andere vertrouwelijke informatie gestolen worden.
Helpt wachtwoorden veranderen?
Het betreft beveiligde sites, die van deze SSL gebruik maken. Daar heb je dus met een wachtwoord op gewerkt. Deze kunnen lekken dus. Je wachtwoorden veranderen is dus de beste algemene maatregel. Maar dat eerst eens even verder verkennen.
Een aantal bedrijven wist van de bug voordat deze openbaar werd gemaakt (Facebook en Google). Ze hebben snel maatregelen genomen. Maar criminelen (en de NSA…) kenden de kwetsbaarheid, dus het lijkt van belang om toch je wachtwoorden voor ook deze sites voor de zekerheid te wijzigen.
Sommige bedrijven, zoals de Nederlandse banken, Linkedin en Microsoft, gebruiken geen SSL. Daar hoeven wachtwoorden dus niet te worden gewijzigd.
Maar let op: als sites hun eigen beveiliging nog niet gerepareerd hebben, werkt het veranderen van wachtwoorden in je nadeel. Het wordt voor hackers dan juist gemakkelijker om je nieuwe wachtwoord te vinden. Het is dus het beste de niet-gerepareerde sites NIET te bezoeken, totdat ze hun beveiliging op orde hebben. En dan je wachtwoorden veranderen.
Wat kan ik zelf doen? De 6 beste tips
- Overweeg veranderen van je wachtwoorden. Dit is niet voor de NL banken sites, want die gebruiken geen SSL. Het is sowieso verstandig om ieder jaar al je wachtwoorden te veranderen.
- Mashable heeft een overzichtelijke lijst van enkele grote sites. Hier lees je welke sites veilig zijn, geraakt zijn, en voor welke je je wachtwoord zou moeten veranderen.
- Wie zelf een site wil testen kan op deze site het webadres invullen. De test laat direct weten of een site nog kwetsbaar is. Niet meer kwetsbaar? Verander het wachtwoord!
- Gebruikers van Google Chrome kunnen de extensie Chromebleed insatlleren. Deze app geeft je een waarschuwing als een onveilige site wordt bezocht.
- Wachtwoord kluisprogramma Lastpass bijvoorbeeld gebruikt ook SSL, maar werkt met meer beveiligingsmaatregelen. Je wachtwoorden zijn via Lastpass veilig op je eigen computer versleuteld opgeslagen. Tip: doe in Lastpass de volgende check en zie voor welke sites je je wachtwoord wanneer moet veranderen:
‘…We also recommend running the LastPass Security Check (click on your LastPass browser icon, select Tools menu, select Security Check) which has been updated to alert you to accounts that may have been impacted by Heartbleed. The Security Check will identify the accounts in your vault that may be at risk and tell you the last time you updated that password, if the site has updated their certificates, and the action we recommend taking at this time.‘ - Lees hier verder hoe je slim een nieuw, veilig wachtwoord kiest! Kun je gelijk op een slimme nieuwe manier je wachtwoorden kiezen en onthouden.
Is de Heartbleed bug echt zo erg?
De Heartbleed-bug maakt in theorie veel gegevens kwetsbaar. Maar hoe dit in praktijk uitpakt moet dus nog worden bezien. Toch zijn veel experts bezorgd. “Het is met gemak de ergste kwetsbaarheid sinds het massagebruik van het internet begon”, zei ceo Matthew Prince van cybersecuritybedrijf Cloudflare tegen Wall Street Journal.
Kaspersky meldt tegenover persbureau Reuters dat door staten gesteunde hackersgroepen al misbruik probeerden te maken van de Heartbleed-bug kort voordat deze in de openbaarheid kwam. Sindsdien proberen steeds meer hackers mee te doen.
“Het probleem is verraderlijk. Het is nu tijd voor de amateurs. Iedereen doet het.” Het is dus het beste om het zekere voor het onzekere nemen. Vernieuw je wachtwoorden, maar niet voordat de site gerepareerd is voor Heartbleed.
- Lees hier op Cnet meer informatie en details (Engels)