Managed hosting door True

'Lek in OpenSSL bedreigt websites ernstig'

 

Hack

Een ernstig beveiligingslek in de OpenSSL-softwarebibliotheek, zorgt voor een groot beveiligingsrisico voor websites. Hackers kunnen het ssl/tls-protocol kraken en versleutelde informatie stelen. De fout zit al sinds 2011 in de code, maar nu trekt het OpenSSL-projectteam aan de bel omdat de omvang van het beveiligingsrisico mogelijk groot is. Het lek met de officiële naam CVE-2014-0160 wordt ook Heartbleed genoemd.

Rob van der Mei, van Hosting in Nederland schrijft in een blog: 'Als gevolg van missende gegevensvalidatie in de zogeheten 'Heartbeat'-extensie, kan tot wel 64 kilobytes aan computergeheugen vrij eenvoudig aan kwaadwillenden geopenbaard worden. Zo kunnen niet alleen beveiligde gegevens worden onderschept, maar zouden mogelijk ook de geheime sleutels die gebruikt worden om de informatie te coderen, blootgesteld kunnen worden.'

Volgens Van der Mei zijn hackers die de versleuteling kraken in principe in staat om al het beveiligde dataverkeer van de bijbehorende server te ontsleutelen, zonder enige sporen van misbruik op het systeem achter te laten. Ook gegevens die in het verleden onderschept zijn, en met dezelfde sleutel beveiligd waren, kunnen op deze manier achteraf nog gedecodeerd worden. Via een Heartbleed tool kan getest worden of een website kwetsbaar is.

Het lek werd aanvankelijk ontdekt door Neel Mehta van Google Security en is nu erkend door het OpenSSL-projectteam. Zij stellen dat alle versies tussen 1.0.1 en 1.0.2-beta kwetsbaar zijn. Gebruikers wordt met klem aangeraden om te upgraden naar de vrijgegeven versies 1.0.1g of 1.0.2-beta-2.

Internetbankieren

Volgens Van der Mei zorgt het lek 'terecht' voor de nodige paniek: 'OpenSSL wordt in veel software toegepast, van web- en e-mail-servers tot chatsoftware en mobiele apps. Daar komt bij dat veel populaire besturingssystemen, zoals Ubuntu, Debian, CentOS en Fedora, op het moment van de aankondiging nog niet direct een update beschikbaar hadden, omdat ze niet van tevoren zijn ingelicht.'

De precieze impact van het beveiligingslek is nog onduidelijk. 'Het is eveneens lastig, zo niet onmogelijk, in te schatten welke partijen gebruik maken van kwetsbare OpenSSL-versies. 'Dat de meeste Nederlandse banken van de software gebruik maken, is echter zeer aannemelijk: OpenSSL is bij veel van hen immers een vereiste bij het opzetten van een koppeling met het iDeal-betaalsysteem', stelt Van der Mei.

Dit artikel is afkomstig van Channelweb.nl (https://www.channelweb.nl/artikel/5051116). © Jaarbeurs IT Media.

?


Lees ook


 

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×
Wilt u dagelijks op de hoogte worden gehouden van het laatste ict-nieuws, achtergronden en opinie?
Abonneer uzelf op onze gratis nieuwsbrief.