De Heartbleed Bug houdt zo ongeveer het hele internet in zijn greep. Welke services zijn kwetsbaar, waar moet ik mijn wachtwoord wijzigen? Hopelijk heb je daar na het lezen van deze blog meer inzicht in.
Wat is de Heartbleed Bug?
Even een korte technische achtergrond. Veel websites, waaronder de sociale media die je gebruikt en zelfs sommige banken, beveiligen de data die door gebruikers wordt ingevuld met SSL encryptie. Dit zorgt ervoor dat jouw data wordt versleuteld en alleen zichtbaar is voor jou en de website (en heel misschien ook de NSA, je weet maar nooit).
Een van de typen SSL die over de hele breedte van het internet wordt ingezet, is OpenSSL. Afgelopen maandagnacht werd bekend gemaakt dat er een bug in OpenSSL zit, die vanwege de impact de veelzeggende naam ‘Heartbleed’ heeft meegekregen. Deze bug kan het geheugen van webservers op zo’n manier binnendringen, dat jouw privédata zoals gebruikersnamen en wachtwoorden eenvoudig kunnen worden ontsleuteld.
Hearbleed is nogal een issue: omdat OpenSSL zo breed wordt ingezet, is ongeveer twee derde van alle websites hierdoor beïnvloed. Check op Lastpass of een willekeurige website die je gebruikt, OpenSSL inzet voor zijn encryptie.
Wat kan ik er aan doen?
Je eerste reactie zou misschien zijn om direct in te loggen bij je bank, op Google en op alle andere services die je gebruikt en daar je wachtwoord te wijzigen. Niet doen dus! Mogelijk is de fout daar nog niet opgelost en is je data direct weer beschikbaar voor iedere willekeurige hacker. Check eerst op CNET of de webservice die je gebruikt, hun servers heeft gepatched, zodat je daarna veilig je wachtwoord kunt veranderen.
Als ik mijn wachtwoord verander, is dan alles veilig?
Helaas. Zwakheden als deze blijven we ongetwijfeld tegenkomen. Volgens Mashable bestaat deze bug al sinds december 2011 en gebruiken veel webservices de zwakke versie van OpenSSL sinds mei 2012 . Iedere app, website, bank of chatservice die OpenSSL gebruiken, is sinds die tijd vatbaar voor deze bug.
Heartbleed is ontdekt door een samenwerking van Codenomicum, een beveiligingsbedrijf in de VS, en Google. Helaas is er niet te ontdekken of, en door wie, er van deze zwakheid in OpenSSL gebruik is gemaakt.
Tot slot: verander sowieso je wachtwoorden van tijd tot tijd (ik hoop dat je voor iedere dienst een ander wachtwoord gebruikt) en bewaar deze offline. Hoe meer tekens, hoe beter. Of probeer eens een wachtwoordzin!