OpenSSL 'Heartbleed'-lek met zware gevolgen

09/04/14 om 16:01 - Bijgewerkt om 16:01

Bron: Datanews

Een implementatiefout in OpenSSL's SSL/TLS heeft mogelijks belangrijke securityinfo van installaties gelekt.

OpenSSL 'Heartbleed'-lek met zware gevolgen

Onder de naam 'Heartbleed' raakte onlangs een probleem met OpenSSL's SSL/TLS-implementatie (Secure Socket Layer/Transport Layer Security) bekend. Ontdekt door onderzoekers bij Google en de Finse securityspecialist Codenomicon, bleek dat door een fout in de SSL code (geen 'bounds check') een 'hearbeat'-request vanwege TLS (een signaal om te checken of een systeem nog beschikbaar is) een stuk geheugeninhoud tot 64 KB aan de aanvrager kan retourneren. Het probleem is dat in de betrokken geheugenruimte zich informatie over primaire en secundaire encryptiesleutels bevindt, bestemd voor het opzetten van een beveiligde SSL-verbinding. Op de site van 'Heartbleed' wordt uitgelegd hoe hiermee het verkeer (ook uit het verleden) kan worden ontsleuteld, terwijl ook gebruikersnamen, paswoorden en zelfs de inhoud van boodschappen kan worden gelekt. Het probleem is groot, omdat heel wat diensten, bedrijven, organisaties en dies meer gebruik maken van de betrokken OpenSSL bibliotheken.

Verhelpen

Ondertussen werd de code bijgewerkt, en OpenSSL stelt uitdrukkelijk dat slechts de versies van OpenSSL 1.0.1 tot en met 1.0.1f kwetsbaar zijn (de versie 1.0.1g is de bijgewerkte versie, vrijgegeven op 7 april), evenals de 1.0.2 beta (aangepast in de 1.0.2 -beta2).

Het probleem baart echter meer zorgen omdat de code het probleem al een paar jaar vertoonde en het niet duidelijk is of in die periode al misbruik van deze fout werd gemaakt. En stelt de Heartbleed site, "het misbruik van deze bug laat geen sporen na van een abnormaal gebeuren in de logs." Het advies aan de dienstenleveranciers die gebruik maken van de betrokken versies luidt "de gecompromitteerde sleutels te herroepen, en nieuwe sleutels te verdelen," in samenwerking met betrokken 'certificate authorities'. Vervolgens kunnen de gebruikers hun paswoorden en dies meer veranderen. "Enkel de eigenaars van de diensten kunnen inschatte wat de waarschijnlijkheid is van wat er werd gelekt, en zouden hun gebruikers navenant moeten verwittigen." Ondertussen werd al een tool http://filippo.io/Heartbleed/ gepubliceerd om te controleren of een server van een probleemversie gebruik maakt (lees eerst de FAQ, in het bijzonder de 'is this a live test? Vraag - haal eventueel het tool zelf op GitHub).

De Heartbleed site wijst erop dat de bouwers van open source web servers als Apache belangrijke gebruikers zijn van OpenSSL. Overigens is dat geen afwijzing van of verwijt naar de open source ontwikkelaars van OpenSSL, is de tendens van heel wat commentaren. Zo stelt Matthew Green, een cryptograaf aan de John Hopkins University, in zijn verhelderende blog dat het "verrassend kleine" team van OpenSSL een "pretty amazing record" heeft, en dat wat meer (financiële) steun vanwege de vele bedrijven die gebruik van maken van hun werk wel op zijn plaats zou zijn.

Onze partners