Heartbleed

In de week van 7 april is een zeer kritieke kwetsbaarheid gevonden in OpenSSL: Heartbleed. Na de ontdekking van dit lek in ‘hart van het internet’ is er onmiddellijk actie ondernomen om het lek te dichten. Helaas zijn er al veel servers en websites besmet, aangezien het lek al ruim twee jaar bestaat. Lees in deze Special alles over Heartbleed en hoe u uw servers nu en in de toekomst kunt beveiligen tegen lekken.

Bookmark and Share

 

My Marqit

Registreer je gratis voor de volgende voordelen:

  • Kosteloos toegang tot alle informatie
  • Onbeperkt downloaden van whitepapers
  • Altijd up-to-date via de Marqit nieuwsbrieven
E-mailadres
Wachtwoord
Wachtwoord [vergeten?]

Gevaren en Oplossingen

Wat kunnen hackers met Heartbleed?


Toegang tot Data

Doordat er een lek is gevonden in OpenSSL, vormt dit een toegang voor cybercriminelen om in te breken in een server, website, applicaties en de cloud. Het is dan ook al bekend dat 66% van de websites onveilig is en ook tweederde van de servers. Dit maakt het dan ook mogelijk voor hackers om data, die normaal gesproken beveiligd is, te ontvangen vanuit de server en op deze manier e-mailaccounts te hacken en bijvoorbeeld in je mail te zoeken naar belangrijke data.

Lees verder wat je kan doen tegen gerichte aanvallen en hoe je bedrijfsgegevens beschermt tegen cyberaanvallen in de whitepapers:



Private Key

Doordat Hackers in de server kunnen inbreken door de Heartbleed bug, kunnen hackers ook toegang krijgen tot de Private Key van opgeslagen data. Onderzoekers hebben dit uitgeprobeerd en gebleken is dat dit inderdaad werkt. Hoe ze dit precies hebben gedaan, geven de onderzoekers uiteraard niet vrij.

De Private Key is een sleutel waarmee encryptie is toegepast op data. Met encryptie ligt data veilig opgeslagen zonder dat iemand erbij kan, tenzij….. iemand de sleutel in handen krijgt. Nu hackers deze sleutels inderdaad in handen kunnen krijgen, is data niet meer veilig opgeslagen.

Lees hoe je de juiste encryptie toe kan passen op data in de whitepapers:



Wie zijn het slachtoffer?


Het antwoord op deze vraag is kortweg: iedereen. De afgelopen week is gebleken dat niet alleen websites en servers, maar ook mobiele applicaties, clouddiensten en miljoenen Android smartphones getroffen zijn door Heartbleed. Het lek heeft dus een impact over vrijwel het gehele internet.


 

Wat nu?


Test Tools

Gelukkig zijn veel bedrijven met oplossingen gekomen voor heartbleed. Ten eerst zijn er een aantal bedrijven die tools hebben ontwikkeld waarmee websites of servers kunnen worden getest op het lek. Een aantal hiervan zijn hieronder op een rijtje gezet:

Beveiligingsupdates en Patches

Ook zijn veel bedrijven bezig geweest met het patchen van Heartbleed en het uitbrengen van beveiligingsupdates. Zo is Tor gekomen met een beveiligingsupdate, ondanks dat de Tor Browser geen gebruik maakt van OpenSSL (waar het lek vandaan komt). Toch is het volgens hen van belang om de beveiliging te updaten. Ook VMware en BlackBerry hebben Heartbleed patches uitgebracht om hun producten weer goed te beveiligen.

Extra Authenticatie

Aangezien normale beveiliging niet goed werkt bij een lek in het systeem en al zeker niet bij een lek van dit formaat, is er extra beveiliging nodig. Wanneer normale authenticatie wordt gebruikt, is het dan ook van belang om deze authenticatie te versterken met extra methoden daarbovenop. Een voorbeeld hiervan is two-factor authenticatie, waarbij iemand twee dingen nodig heeft om toegang te krijgen tot data. Namelijk iets wat je weet, zoals gebruikersnaam en wachtwoord en iets wat je hebt, zoals een bepaalde token.

 

Verander je wachtwoord pas nadat het lek is gepatcht

Door veel verschillende beveiligingsexperts wordt het advies gegeven om uw wachtwoorden te veranderen, aangezien de hackers uw oude wachtwoorden al in handen heeft. Vanuit andere bronnen wordt weer vermeld dat hiermee opgepast moet worden, aangezien hackers het nieuwe wachtwoord gewoon opnieuw in handen krijgen, wanneer het lek nog niet goed is gepatcht. Het beste is dus dat u wacht met het veranderen van uw wachtwoord wanneer u met zekerheid kunt zeggen dat het lek is gepatcht.

Het laatste Nieuws


Na een maand nog steeds honderdduizenden kwetsbare servers door Heartbleed


Heartbleed is iets meer dan een maand ontdekt en onmiddellijk hebben websites - en internetgebruikers zelf – actie ondernomen tegen het lek. Toch blijkt nu dat nog steeds meer dan 300.000 servers kwetsbaar zijn voor Heartbleed.

Lees verder>>

 

 

Relevante Whitepapers



Het Nationaal Cyber Security Centrum heeft een factsheet gemaakt over de Heartbleed Bug. Het NCSC adviseert om uw kwetsbare servers en andere apparaten op korte termijn te upgraden naar een versie van OpenSSL die niet kwetsbaar is. Krijgt u OpenSSL meegeleverd met een apparaat of met andere software, vraag uw leverancier dan wanneer een versie beschikbaar zal komen die een niet-kwetsbare versie van OpenSSL ondersteunt.

Download hier het factsheet.