Dit is een artikel uit het NRC-archief De artikelen in het archief zijn met behulp van geautomatiseerde technieken voorzien van metadata die de inhoud beschrijven. De resultaten van deze technieken zijn niet altijd correct, we werken aan verbetering. Meer informatie.

Economie

Veiligheidslek Heartbleed blijkt nog groter

Het ingrijpende lek in de versleutelingstechniek OpenSSL, in gebruik bij honderdduizenden websites en online diensten, blijkt nog ingrijpender. Dit Heartbleed-lek stuurt ongevraagd te veel informatie uit het geheugen van de server naar elke partij die daar om vraagt.

Afgelopen weekeinde bleek dat op die manier niet alleen wachtwoorden en inlognamen van gebruikers kunnen lekken, maar ook de persoonlijke encryptiesleutels van de sitebeheerder. Met die informatie is het mogelijk om nepsites te bouwen die niet van echt te onderscheiden zijn. Cybercriminelen kunnen op die manier nog veel meer wachtwoorden achterhalen dan met het gewone Heartbleed-lek, dat redelijk willekeurig informatie uit het geheugen van de server oplepelt.

Bloedend logo

Heartbleed is een woordspeling op het controlemechanisme ‘Heartbeat’ in een onderdeel van OpenSSL; de computer van de bezoeker stelt de server een paar controlevragen. Het lek werd ontdekt door een Google-onderzoeker en het Finse veiligheidsbedrijf Codenomicon, dat een tot de verbeelding sprekend logo verzon van een bloedend hart en meteen website heartbleed.com registreerde. Het gaf een extra zetje aan de Heartbleed-hype, waarin veiligheidsbedrijven en it-experts over elkaar heen buitelen om de ernst van het probleem te benadrukken, mede  in de hoop om nieuwe klanten van datzelfde probleem te verlossen. Zo werd Heartbleed het eerste lek met een eigen merk en een cool logo, aldus Techcrunch.

Aanvankelijke schattingen meldden dat tweederde van het internet kwetsbaar zou zijn voor het lek in OpenSSL, maar veel grote diensten (waaronder Apple, Microsoft en de meeste banken) gebruiken andere technologie. Recentere schattingen hebben het over 25 procent van de duizend grootste webdiensten. Het gaat daarbij om diensten als Youtube, maar ook opslagdiensten als Box en Dropbox. (Zie de lijst op Mashable) Ook sommige Android-telefoons zouden kwetsbaar zijn, net als beveiligde netwerken (VPN), mailservers en berichtendiensten. Ze moeten de servers updaten en nieuwe digitale certificaten aanvragen; dat kost tijd. Het aantal kwetsbare populaire Nederlandse sites  is volgens Tweakers.net gering.

OpenSSL is een open bron systeem. Dat betekent dat specialisten code kunnen verbeteren en wijzigingen toevoegen, en dat resultaat wordt gecontroleerd door andere specialisten. Maar deze basisfout van een Duitse programmeur bleef onopgemerkt. Dat is verbazingwekkend voor een lek dat op techfora vergeleken wordt met ‘Fukushima’ of ‘Tsjernobyl’.

‘NSA wist van lek’

Persbureau Bloomberg meldde vrijdag dat de Amerikaanse veiligheidsdienst NSA al twee jaar weet had van het Heartbleed-lek en er ook misbruik van maakte. De NSA ontkent dat, maar heeft wel een speciale afdeling die op veiligheidsgaten jaagt om in systemen in te breken. Zo slaagde de geheime dienst er in mee te kijken op de servers van onder meer Google, bleek vorig jaar uit uitgelekte documenten van klokkenluider Edward Snowden.

Veiligheidsspecialisten hameren er al jaren op dat het gevaarlijk is om eenmaal ontdekte softwarefouten geheim proberen te houden; software en internetdiensten worden veiliger als lekken meteen openbaar zijn en vervolgens snel gerepareerd worden.

De Amerikaanse president Obama heeft zich volgens The New York Times uitgesproken tegen het geheim houden van zulke grote lekken. Maar, voegde hij er aan toe, er kan een uitzondering gelden voor situaties waarbij het landsbelang in het geding is. Dat laat de NSA nog alle ruimte om lekken te misbruiken.

Misbruik voorkomen

Er zijn volgens  techsite Arstechnica  in november 2013 al sporen van misbruik van Heartbleed gevonden. Inmiddels zijn cybercriminelen massaal  op de Heartbleed-fout gedoken. om misbruik te voorkomen is het  aan te raden je wachtwoorden te wijzigen. Maar dat heeft  geen zin als de kwetsbare website nog niet is aangepast.

De beste bescherming is inloggen met extra authenticatie, bijvoorbeeld met een sms’je of een extra code.  Wie nieuwe wachtwoorden aanmaakt, kan het beste een wachtwoordmanager gebruiken die zelf lukrake en gecompliceerde letter- en cijferreeksen verzint – voor elke site anders. Dat beperkt de schade als  een wachtwoord in verkeerde handen valt.