Cybercrime14.04.2014

ESG over de Heartbleed bug: ‘Trek alle softwarecertificaten in’


De internetcommunity werd vorige week opgeschrikt door een zeer ernstig lek in de Heartbeat-extensie van OpenSSL. “Heartbleed, zoals de bug is gedoopt, heeft ernstige gevolgen voor het hele web,” zo oordeelt Will Kamminga, Directeur bij ‘Certification Service Provider’ ESG de Electronische Signatuur.

De inhoud van het geheugen van een server – die onder normale omstandigheden wordt beschermd door SSL/TLS-encryptie – kan door de bug op straat komen te liggen. Dan kan worden gedacht aan opgeslagen gebruikersnamen en wachtwoorden, e-mailverkeer en geheime sleutels en certificaten van een server. Met de geheime sleutels van certificaten kan de aanvaller informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.

Volgens Netcraft, een internetbedrijf dat onder andere internetverkeer analyseert, is ongeveer 17% van de SSL-webservers kwetsbaar voor de Heartbleed-bug. In totaal gaat het dan om ongeveer een half miljoen websites. Onder de kwetsbare sites bevinden zich volgens Netcraft gerenommeerde namen zoals Twitter, Tumblt, Steam, Yahoo en Dropbox.

De impact is veel groter
Volgens Kamminga is de impact van de bug echter veel groter dan de cijfers van Netcraft doen vermoeden. “Direct of indirect is waarschijnlijk iedereen getroffen door deze kwetsbaarheid. Veel online diensten, van sociale netwerksites tot aan overheidssites, gebruiken TLS om zichzelf aan de bezoeker te identificeren en privacy en transacties te beschermen. Maar ook client-side software op de computer van de gebruiker kan de gegevens van die computer blootstellen op het moment dat er verbinding wordt gemaakt met een gecompromitteerde dienst.”

De impact van de bug gaat bovendien verder dan webservers; ook routers, modems en mailservers die gebruikmaken van OpenSSL – met de bewuste Heartbeat-extensie ingeschakeld – zijn kwetsbaar. Het Tor Project, dat anonimiteit op het internet hoog in het vaandel heeft staan, adviseert gebruikers ‘die veel waarde hechten aan privacy’ dan ook om enkele dagen niet op internet te komen.

Advies
Kamminga van ESG adviseert: “Update uw OpenSSL software, verander al uw wachtwoorden,laat alle softwarecertificaten intrekken en installeer nieuwe certificaten met het hoogst mogelijke beveiligingsniveau. Dat niveau wordt geboden door de Public Key Infrastructure voor de overheid, kortweg PKIoverheid. Met behulp van PKIoverheid-certificaten is de informatie die personen en organisaties over het internet sturen per definitie op een zeer betrouwbare wijze beveiligd.”

Het Nationaal Cyber Security Centrum (NCSC) heeft ook een uitgebreide factsheet opgesteld over Heartbleed.

Verder lezen over Software

Logitech MX Creative Console: gemaakt voor alle digital content creators

Logitech heeft onlangs de MX Creative Console aangekondigd: een nieuwe productcategorie in het portfolio van Logitech die is gericht op alle digitale creators. Het is een device waarmee zij zich volledig kunnen focussen op hun artistieke ambities.

Gadgets10.10.2024

Logitech MX Creative Console: gemaakt voor alle digital content creators

Backbase opent wereldwijde hoofdkantoor in Amsterdam

Backbase, de ontwikkelaar van het Engagement Banking Platform, opende vandaag zijn wereldwijde hoofdkantoor aan de Oosterdoksstraat 114 in Amsterdam. Deze verhuizing is meer dan alleen een adreswijziging; het is een nieuwe stap voorwaarts in de missie van het bedrijf om bankieren opnieuw vorm te geven en de klant centraal te stellen.

DC Business07.10.2024

Backbase opent wereldwijde hoofdkantoor in Amsterdam

Online poker wordt nu al gedomineerd door AI

Online poker is groot, maar voor zowel pro’s als recreatieve spelers wordt het een stuk minder leuk en interessant met AI erbij.

Online23.09.2024

Online poker wordt nu al gedomineerd door AI

Flintfox lanceert snelle real-time pricing engine nu ook voor SAP-klanten

Flintfox, een specialist in intelligent prijs- en kortingsbeheer, heeft onlangs de lancering van Flintfox voor SAP aangekondigd. Deze nieuwe applicatie vereenvoudigt en versnelt complex prijsbeheer voor SAP-gebruikers met een snelle real-time pricing engine.

DC Business23.09.2024

Flintfox lanceert snelle real-time pricing engine nu ook voor SAP-klanten

Microsoft Copilot komt met Pages: een ultiem samenwerkdocument

Microsoft kondigde Copilot Wave 2 aan in een livestream. Eén van de handigste nieuwe taken is Pages waarmee samenwerken beter moet gaan.

Artificial Intelligence17.09.2024

Microsoft Copilot komt met Pages: een ultiem samenwerkdocument

Salesforce laat je nu je eigen AI-agent bouwen met Agentforce

Agentforce klinkt als een nieuwe dependance van de CIA, maar het is AI van Salesforce waarmee je zonder dat je hoeft te kunnen programmeren AI-agenten kunt bouwen.

Online16.09.2024

Salesforce laat je nu je eigen AI-agent bouwen met Agentforce

HubSpot komt met gratis tool voor AI zoekoptimalisatie

Consumenten en bedrijven kiezen steeds vaker voor AI-toepassingen om online antwoorden te vinden op hun vragen. Het gebruik van tools als ChatGPT voor zoekfuncties is zelfs met 37% gestegen, terwijl het gebruik van traditionele zoekmachines met 11% is gedaald.* Marketeers die zich tot nu toe hebben gericht op Search Engine Optimization (SEO) om hun merk goed in beeld te brengen, zullen zich nu (ook) moeten specialiseren in een nieuw vak: Language Model Optimization (LMO).

Marketing22.08.2024

HubSpot komt met gratis tool voor AI zoekoptimalisatie

Microsoft Teams maakt eindelijk één app voor al je accounts

MS Teams wordt een stuk beter. Hoe? Met een app. Geen zorgen, niet nóg een naast de twee die je nodig hebt: juist één to rule them all.

Online21.08.2024

Microsoft Teams maakt eindelijk één app voor al je accounts