Onlangs is er ontdekt dat er een ernstig beveiligingslek in de populaire OpenSSL-softwarebibliotheek zat. Op vele verschillende computersystemen was dit verantwoordelijk voor de cryptografie binnen het SSL/TLS-protocol en dit maakt het mogelijk om versleutelde informatie te stelen. Wat blijkt is dat de fout al sinds 2011 in de code zit en kan nog steeds op grote schaal misbruikt worden.
In de zogeheten Heartbeat-extensie was er een missende gegevensvalidatie en dit kan wel tot 64 kilobytes aan computergeheugen zeer eenvoudig aan bijvoorbeeld hackers geopenbaard worden. Hierdoor kunnen niet alleen de beveiligde gegevens onderschept worden, maar hierdoor worden ook de geheime sleutels die informatie coderen blootgesteld.
Veel paniek
Dit kritieke lek zorgt terecht voor de nodige paniek, want OpenSSL wordt in veel software toegepast. Daarnaast zijn er systemen zoals CentOS en Ubuntu die nog geen update beschikbaar stellen, omdat ze niet van tevoren ingelicht zijn.
Wat echter opvalt is dat CloudFlare al vorige week op de hoogte was van het lek, nadat het door de ontdekkers van het lek op de hoogte was gebracht. Dit werd uiteraard niet gewaardeerd door andere partijen die hierdoor het nakijken hebben.
Wat voor schade heeft het aangericht?
Op dit moment is de impact van het lek nog moeilijk in te schatten, omdat het niet in te schatten is hoeveel partijen er daadwerkelijk gebruik maken van de kwetsbare OpenSSL-versies. Maar dat de Nederlandse banken gebruiken van de software is wel zeer aannemelijk, want bij vele van hun was het een vereiste bij het opzetten van een koppeling met het iDeal-betaalsysteem. Voor de rest is het afwachten welke websites onveilig zijn.
Een groot deel van het internet kwetsbaar door Heartbleed-lek in OpenSSL-bibliotheek
Geen opmerkingen:
Een reactie posten