Nu is er bewijs: door Heartbleed waren sites niet veilig

Meerdere media, ook Elsevier, waarschuwden deze week voor een groot beveiligingslek op websites die de implementatie OpenSSL gebruiken. Een hacker heeft aangetoond dat de ‘toegangssleutel’ tot beveiligde servers inderdaad is te kraken.

Maandag brak er onder internetexperts paniek uit toen OpenSSL, een beveiligingsimplementatie die door een overgroot deel van de websites wordt gebruikt, een lek bevatte.

Heartbleed

Door het lek was het in theorie mogelijk voor kwaadwillenden om zich toegang te verschaffen tot een op het oog beveiligde server.

Dat de verbinding tussen een internetservice en de server in orde is, wordt aangegeven door een zogenoemde ‘heartbeat’. Maar omdat er bij OpenSSL een fout zat in die heartbeat werd het lek ‘Heartbleed‘ genoemd.

Groot gevaar?

Internetgebruikers wordt wereldwijd aangeraden de wachtwoorden van belangrijke diensten te wijzigen. Een advies dat sowieso nooit kwaad kan. Maar hoe groot was nou eigenlijk de kans dat kwaadwillenden u daadwerkelijk hebben kunnen bespieden terwijl u zich op een beveiligde server waande?

‘Niet zo heel groot,’ dacht het Amerikaanse internetbedrijf Cloudflare dat de bug onderzocht. Het bedrijf heeft de afgelopen dagen internetexperts laten proberen de ‘versleuteling’ van OpenSSL-servers te kraken door gebruik te maken van de zwakte van Heartbleed. Maar die pogingen bleven zonder resultaat. Wel bleek het mogelijk om in het script inloggegevens van gebruikers te achterhalen, maar volledige toegang tot de server bleek niet haalbaar.

Vrijwel onmogelijk

Cloudfare wilde het zeker weten en vroeg de hulp van het publiek. Het bedrijf riep een site in het leven dat met opzet de zwakte van Heartbleed bevat.

Hackers wereldwijd werd gevraagd een poging te doen om de site te kraken. En dit is gelukt. Ene Fedor Indutny liet weten de beveiligde sleutel te hebben bemachtigd. Dit is bevestigd door Cloudfare. Dit betekent definitief dat webdiensten die gebruik maakten van OpenSSL niet veilig waren. Wijzig daarom uw wachtwoord, maar wacht wel tot de internetdienst laten weten dat ze het lek hebben gedicht en tot ze hun beveiligingscertificaten hebben gewijzigd. Als u nu uw wachtwoord wijzigt terwijl kwaadwillenden meekijken hoe u dat doet, dan heeft het natuurlijk geen zin.