Het grote Heartbleed-gat in beveiligde communicatie met websites, webservices en clouds is nog altijd niet goed gedicht. Door onwetendheid en laksheid, maar ook door beheerdersfouten.
Het Heartbleed-gat heeft een groot deel van het internet geraakt. Het gaat daarbij om uiteenlopende toepassingen zoals cloud-logins, e-mail, instant messaging en sommige VPN-diensten (virtual private networks). Verbindingen waarvan we aannamen dat ze goed beveiligd waren, bleken door een fout in de open sourcesoftware OpenSSL toch kwetsbaar. Deze veelgebruikte library voor het beveiligen van netwerkverbindingen (op basis van encryptieprotocollen SSL en TLS) had een bug in de zogeheten heartbleed-functie, die de beveiligde verbinding in stand houdt.
Servergeheugen aftappen
Door deze fout kon een aanvaller bij websites en clouddiensten data uit het servergeheugen opvragen. Die geheugenbrokken kunnen encryptiesleutels, inloggegevens en ook de beveiligd geachte data-uitwisseling zelf bevatten. De bug die dit aftappen mogelijk maakt is in december 2011 opgenomen in de OpenSSL-code. De desbetreffende versie (1.0.1) is in maart 2012 uitgebracht. Daarna is de kwetsbaarheid tot begin april dit jaar onopgemerkt gebleven.
Toen het Heartbleed-gat uiteindelijk aan het licht kwam heeft dit wereldwijd voor flinke ophef gezorgd. Die ophef – en de vervolgens ondernomen actie – blijkt echter niet groot genoeg geweest te zijn. Heartbleed lekt namelijk nog na en zorgt ook nu, vele maanden na de onthulling, nog voor onveiligheid online. Onzichtbare onveiligheid, want het gat valt spoorloos te misbruiken.
Niet alleen servers
Een scan eind augustus door het Amerikaanse securitybedrijf Venafi wees uit dat er nog honderdduizenden Heartbleed-kwetsbare systemen online zijn. Dit is onder meer het geval bij servers van meer dan de helft van de bedrijven op de Forbes Global 2000 ranglijst van meest winstgevende ondernemingen wereldwijd.Bovendien gaat het niet alleen om servers, want ook routers, appliances en andere internetapparaten zijn kwetsbaar.
Hoe dit kan? Deels door onwetendheid bij de nog altijd kwetsbare organisaties, deels door laksheid en deels door fouten in het beheer. Het gat is in sommige gevallen níet gedicht en in andere gevallen niet goed gedicht. In het eerste geval gaat het om het besef van de risico’s bij degenen die verantwoordelijk zijn voor het it-beheer. Zij moeten weten dat het gat bestaat, dat het aanwezig is in de systemen van de eigen organisatie. En zij moeten die kwetsbaarheid aanpakken.
Dat ligt echter niet alleen in de macht van it-beheerders. Zij moeten op hun beurt wachten totdat de leveranciers van besturingssystemen, routers, appliances en applicatiesde gefixte OpenSSL-versie (1.0.1g) opgenomen hebben in hun producten. Wanneer die fixes er eenmaal zijn, kan de beheerder die installeren.
Patchen én vervangen
Maar daarmee is de kous nog niet af. De Heartbleed-bug zelf is dan weliswaar gefixt, maar de gaten die het heeft veroorzaakt niet. Simpelweg de kwetsbare software patchen is dan ook niet voldoende.
Na het updaten van OpenSSL moeten alle encryptiesleutels van de voorheen kwetsbare versie als onveilig worden beschouwd. Hetzelfde geldt voor beveiligingscertificaten die met die sleutels zijn ondertekend. Die certificaten moeten vervangen worden en er moeten nieuwe worden uitgegeven. Daarvoor moeten organisaties aankloppen bij hun certificaatleveranciers (Certificate Authorities) die hiervoor kosten in rekening kunnen brengen.
Klinkt als een kostbare zaak en dat is het ook. Het intrekken van bestaande certificaten is een complexe en dus tijdrovende affaire. Maar zonder deze noodzakelijke stap blijft het grote gevaar bestaan dat kwaadwillenden zich met de eerder afgetapte gegevens een valse identiteit aanmeten. Daarmee hebben ze dan nog steeds een voet tussen de deur voor fraude, phishing en cyberspionage.
