Het opvallendste nieuws volgens Rhett Oudkerk Pool

"Gapend gat in SSL-bveiliging",
"Patches voor OpenSSL-gat in de maak",
"Verander uw wachtwoorden op Facebook, Google, Evernote en AWS".

Rhett Oudkerk PoolMeer van deze auteur

Voor een securityspecialist was dit natuurlijk groot nieuws. Groot bereik, 2/3 van de servers. Veel sites met kwetsbaarheden. Voor ons ook werk omdat de bug zat in een veelgebruikte telewerkoplossing. Ook op Facebook zag ik veel van mijn vrienden uit het vakgebied hun vrienden weer waarschuwen en ook wordt natuurlijk continue gevraagd: 'Moet ik mijn wachtwoorden wijzigen?'

Er is toch nog wel een aantal zaken te zeggen over deze bug.
Dit is weer een mooi voorbeeld van het ontbreken van eigenlijk "input validatie". Bij de ontwikkeling van software kun je eenvoudig je software laten testen door geautomatiseerde testsoftware. Wanneer je iets verwacht van 4 karakters, check dan ook of het er 4 zijn. Of zoals hier: wanneer je een heartbeat code + heartbeat code lengte ontvangt, check dan ook of dat klopt.

Daarom denk ik dat deze bug waarschijnlijk serieus is misbruikt. Immers een beetje spelen met dit soort foute invoer is zelfs bij scriptkiddies hobby. De bug zit in software die 2 jaar geleden is uitgekomen. Het zal dus ook interessant zijn hoe lang wij deze bug nog in het wild zullen tegen komen.

Resultaat van deze bug is een stuk memorydump, en die kan allerlei gegevens bevatten, ook bijvoorbeeld privécertificaten. Het is bekend dat NSA bijvoorbeeld ook geëncrypte sessies opslaat, waar ze niet het sleutelmateriaal van hebben. Dat kunnen ze nu wel hebben. Dus ze kunnen opgeslagen taps alsnog ontsleutelen.

Wat je moet doen is je kwetsbare apparatuur updaten naar een softwareversie zonder bug of de heartbeatfunctie uitzetten wanneer een patch nog niet beschikbaar is. Na patching moet je ook nieuwe certificaten aanvragen op basis van een nieuwe private key & CSR. Alleen een nieuw certificaat aanvragen is niet voldoende!

AutomatiseringGids is niet kwetsbaar want ze gebruiken niet eens SSL!

Privé heb ik veel relaties geadviseerd om nu een passwordtool in gebruik te gaan nemen. Je moet toch veel aanpassen en dit is wel een goed moment om na te gaan denken over goed beheer van je wachtwoorden. Aangezien de meeste mensen tientallen zo niet meer dan 100 accounts op allerlei webshops, sites en e-mail-omgevingen hebben, is dit het moment om een dergelijke tool te gaan gebruiken. Resultaat is dan dat je overal een ander sterk wachtwoord gebruikt.