Heartbleed: het grootste beveiligingslek in jaren

Ook HostingXS heeft last gehad van de Heartbleed bug. Lees hier wat de bug is en hoe we onze servers er tegen hebben beveiligd.

Afgelopen dinsdag werd de wereld geconfronteerd met wat waarschijnlijk het grootste beveiligingslek was in jaren: heartbleed. Heartbleed is de naam die gegeven is aan een bug in de OpenSSL bibliotheek. Deze wordt zeer veel gebruikt voor het opzetten van beveiligde verbindingen, zoals bijvoorbeeld https-verbindingen, maar ook beveiligde mailverbindingen en vele andere.

Heartbleed is een belangrijke en vervelende bug. Het stelt kwaadaardige partijen in staat om contact te maken met een server en zonder dat er iets gelogd wordt, een deel van het geheugen van die server uit te lezen. In dat geheugen kan van alles staan. Denk aan wachtwoorden, financiële gegevens, enzovoorts. Ook kunnen beveiligingssleutels uitgelezen worden. Dat stelt zo’n kwaadaardige partij weer in staat om zich voor te doen als een andere website. Concreet: als ik bijvoorbeeld beheerder ben van een gratis wifi-netwerk, dan kan ik op dat wifi-netwerk een site laten draaien die niet te onderscheiden is van de site van een bank! De bank identificeert zich met een combinatie van een geheime sleutel en een SSL-certificaat. Zodra die geheime sleutel niet meer geheim is (bijvoorbeeld door deze heartbleed-bug), dan is de beveiliging weg.

De bug is niet alleen verstrekkend in zijn gevolgen, maar ook verstrekkend in zijn verspreiding. OpenSSL is bij uitstek de meest gebruikte bibliotheek voor het opzetten van beveiligde verbindingen. Bij HostingXS gebruiken we bijvoorbeeld OpenSSL voor álle websites die beveiligd zijn met https. Niet alle versies van OpenSSL hebben de fout, maar de versie die bij ons het meest gebruikt wordt, is toevallig een versie met de fout er in.

Dinsdag was een drukke dag. Opeens moest een aanzienlijk deel van ons serverpark updates krijgen. Gelukkig is dat niet allemaal handwerk. We maken gebruik van gecentraliseerde beheersystemen van waaruit ons hele serverpark gemanaged kan worden. Hierdoor konden we heel snel overal updates uitrollen. Aan het einde van de dag was het probleem grotendeels opgelost.

Woensdagmorgen hebben we met een tool ons hele netwerk gescand op de bug. We vonden nog enkele servers met problemen. Die hebben we toen aangepakt. Vanaf dat moment kunnen we zeggen dat ons netwerk weer geheel vrij is van de heartbleed-bug.

Helaas is het door de aard van de bug onmogelijk om te zeggen of en zo ja, welke gegevens er buitgemaakt zijn. Áls er gegevens buitgemaakt zijn, dan is het zeker niet triviaal om bruikbare informatie uit die gegevens te halen. Onze verwachting is dus dat er geen verdere actie nodig is.

Mocht je toch bijvoorbeeld je SSL-certificaat vervangen hebben door een nieuwe, neem dan contact met ons op. We bespreken dan de mogelijkheden met je.

2 reacties op “Heartbleed: het grootste beveiligingslek in jaren

Reageren is niet mogelijk.