HeartBleed: de grote waarschuwing

Volgens kenners was de HeartBleed bug in OpenSSL het grootste en meest kritieke datalek in de ICT geschiedenis, en wel op een niveau waar de gewone gebruiker direct niets mee te maken heeft, maar alle websites die met beveiligde SSL (secure socket layer) servers werken dus wel.

Het probleem was dat met een relatief eenvoudige vraag de server meer data ging spuien uit het RAM-geheugen en dat daar dan net andere gegevens zoals wachtwoorden en codes in zouden kunnen zitten. Ervaren dataminers kunnen zo’n klein gaatje slim gebruiken en de data die dan loskomen analyseren en er gevaarlijke dingen mee doen. De eindgebruiker en dat geldt dus ook voor wie z’n site heeft ondergebracht bij een dienstverlener, heeft er verder weinig mee te maken, er zijn geen extra updates of zo van de anti-virus software nodig, al zijn er weer direct slimmerikken geweest die juist daarmee weer aan het phishen sloegen.

Wel kan het verstandig zijn alle belangrijke wachtwoorden te vervangen, als men gebruik heeft gemaakt van een dienst die dat stukje OpenSSL Heartbeat (vandaar de aanduiding HeartBleed) communicatie-code (SSL versions 1.0.1 tot en met 1.0.1f, 1.0.1g is weer veilig ) gebruikt heeft. Met name MySQL van Oracle wordt veel gebruikt en is of was kwetsbaar. Dat is iets om te overleggen met de provider of sitebeheerder, die wel snel naar een schone versie van OpenSSL kan upgraden of OpenSSL kan recompileren zonder heartbeat extensie met de -DOPENSSL_NO_HEARTBEATS flag.

Er zijn wel grotere clubs, waarvan stukjes van hun hele aanbod hiermee belast zijn, die hebben direct maatregelen genomen en waarschuwen wel hun klanten. Het gaat om softwarebedrijven zoals Oracle en vooral de Linux wereld die stukjes van die code hebben gebruikt. Van Oracle is Java ME is kwetsbaar voor exploits op Heartbleed, net als onderdelen van MySQL. Ook Oracle Linux 6 en Solaris 10.2 hadden er last van. Dit soort leveranciers waarschuwt gebruikers en is veelal snel met patches gekomen.

Het lek, het was geen virus of malware, is relatief snel en soepel gedicht, maar niemand weet hoe lang het bij sommigen al bekend was en gebruikt werd. Er wordt gesuggereerd dat de Amerikaanse NSA het wist, Google wist het al weken eerder (Neel Mehta van Google ontdekte het) maar ook minder goed bedoelende clubs kunnen al tijden hebben zitten graaien, wachtwoorden en ontsleutelcodes hebben afgevangen en die nog even achteraf houden om later te gaan gebruiken.

Het lek was de fout van een Duitse open source programmeur, maar het was het Finse securitybedrijf Codenomicon, dat de term Heartbleed verzon en een site met uitleg maakte en eigenlijk wereldkundig maakte. Codenomicon zou de bug zelf ook, onafhankelijk, ontdekt hebben en het OpenSSL-team van de Finse CERT-organisatie ingelicht hebben. Daarmee was de dop van de fles en besloot het OpenSSL-team de patch uit te brengen en het probleem openbaar te maken

De onthulling op 7 april was niet het begin van de defensieve maatregelen, maar eigenlijk het einde, zeker voor wat betreft de grote en kwetsbare clubs, zoals Google, dat het al eerder wist, OpenSSL zelf, Facebook, Akamai, Cloudflare en anderen zoals de Linux distributeurs, we mogen aannemen dat ook overheden zijn ingeseind. Die selectieve disclosure onder embargo was verstandig, want het gat was niet moeilijk te misbruiken en dat dichtmaken voor zware gebruikers had prioriteit. Of men daarbij totaal eerlijk te werk ging is de vraag, maar men gooide het nieuws niet zo maar de wereld in, dat zou echt een ramp hebben veroorzaakt. Nu moesten natuurlijk na 7 april allerlei kleinere clubs aan de gang, maar de informatievoorziening was duidelijk, deskundigen konden hun servers en dienstenvrij eenvoudig patchen. De schade, van malwareniers die dit gat al kenden of van snelle jongens die snel op jacht gingen, is onbekend, pas de komende jaren zal duidelijk worden waar en met welk doel er meegekeken is en wat men te weten is gekomen door eigenlijk vrij beperkte blokjes van 64K data los te peuteren.

HeartBleed is een bug, van een stukje nogal relevante code in het verkeer met een server, dat dus een gat liet vallen in de beveiliging. Het werd gebruikt door heel veel websites, het https adres is daar een indicatie van, Facebook, Google, Instagram etc. werken er mee, juist om een veilig dataverkeer te kunnen garanderen. Vrijwel iedereen gebruikt dergelijke diensten zeer regelmatig en vaak gebruiken we passwords om toegang te krijgen. De bedreiging was dus geen lokaal incidentje, heel veel webverkeer of tenminste dat wat daar even in het RAM geheugen van de server stond is dus bedreigd (geweest). OpenSSL TLS ‘heartbeat’ Extension Information Disclosure Vulnerability (CVE-2014-0160) bedreigd een stuk van OpenSSL library en maakt vaak deel uit van veel implementaties van SSL (Secure Sockets Layer) en TLS (Transport Layer Security) protocol.

“Heartbeat” was een functie in SSL die zorgde voor consistente communicatie tussen gebruiker en server, op basis van simpele vragen (requests) om de lijn open te houden (dus vandaar dat hart, het is een soort timer. De software daarvoor werd ontwikkeld door vrijwilligers uit de hele wereld en is gratis (open source) en staat mede daardoor op ongeveer twee derde van alle webservers. Nu is de hele grap dat dit dan verder werkt met encrypted (gecodeerd) verkeer, dus in principe extra veilig, iemand die even je wifi kraakt kan er niet bij. Maar als die sleutel nu toevallig in dat via HeartBleed uit te lezen stukje zit, is de deur wel open. Die kans is niet groot bij een enkele poging, maar de slechterikken trekken heel veel keren een stukje leeg en hebben zo meer kans belangrijke sleutels te vinden, die weer toegang geven tot andere belangrijke data.

Wat is het grote probleem?

Het is niet onmogelijk dat dit gaatje al langer gebruikt is met foute bedoelingen. De NSA is daarvan beschuldigd, maar ontkent natuurlijk, maar er zijn meer overheden en foute clubs met brede technische mogelijkheden, die al een heleboel zouden hebben kunnen uitgraven. Helaas is niet te zien, wie op deze manier al heeft zitten data-mijnen. Die data gaan ze voorlopig niet gebruiken, dat zou opvallen, maar ergens in de toekomst kan die informatie wel gaan opspelen. Wanneer en hoe, dat weet niemand, maar het is een zwaard van Damocles boven het hele net. Door alle relevante wachtwoorden en encryption keys te vervangen kan dat gevaar een beetje worden ingeperkt, maar wie is bereid dat te doen, veel werk en de bedreiging is maar virtueel. Bovendien kost het tijd, encryption keys moeten worden aangevraagd. Ook gebruiken veel mensen dezelfde password en namen voor verschillende diensten, dus als die bekend zijn, kan men op veel plaatsen schade aanrichten.

De HeartBleed bug maakt dit probleem wat acuter, mensen zullen misschien wat meer verschillende passwords gaan gebruiken, maar de fundamentele vraag is of dit soort ellende te voorkomen is. Het antwoord is helaas nee, zolang er mensen bij betrokken zijn zullen er fouten gemaakt worden. Nog erger, in grotere organisaties is het bijna niet te voorkomen, dat er mensen zijn, die uit wraak, om zich belangrijk te voelen of om er geld uit te slaan, bewust foutjes maken of laten zitten. Dat probleem los je niet op met meer controle, want wie controleren de controleurs dan weer, corruptie is er op alle niveau’s, maar vraagt ook om veel aandacht voor de sfeer, voor de individuele werksituaties, of er ongenoegen is in de organisatie, oude grieven, het is een mensenvraag.

Net zoals we bij het terrorisme langzamerhand de grotere organisaties wel kunnen detecteren, er wordt genoeg afgeluisterd, maar het gevaar nu van de ‘lone wolf’ komt, is dat bij ICT-beveiliging een kwestie van individuele wikileakers of gefrustreerde werknemers, die met een breed scala aan motivaties rotzooi kunnen veroorzaken. Lossen we dat makkelijk op, helaas niet! Het zit er in, dat op termijn nog meer van dit soort HeartBleed bugs zullen opduiken, en het is zelfs niet ondenkbaar dat ooit het hele net een keer plat zal gaan. Laten we hopen dat de politiek, en ze hoeven het ons niet te vertellen, daar rekening mee heeft gehouden en goede noodplannen heeft. Dit vraagt om maatregelen in de ordegrootte van een Deltaplan, want wat doen we nog zonder interent?

 

Home

Dieptedossiers

Dealer Info TV

Dealer Info

Agenda

ICT webnieuws

Partnerdagen

Luc Sala's columns

Contact

Bedrijvengids

Archief

 

Vacatures

 
website development: GF&FA
Dealer Info • home
Vakblad voor ICT & CE retailers

Luc Sala's Blog
Shuttle Computers Handels GmbH
Wave Computers Nederland
ScanSource
G DATA Software AG
Dealer Info
Asus
Primacom