Nog werk aan Heartbleed-winkel
Het herstel van de door Heartbleed aangerichte problemen kan langer aanslepen dan gedacht, met mogelijke verstoringen van de dienstverlening.
Zo gauw de Heartbleed bug in het nieuws kwam, werd op de betreffende website de mogelijkheid aangekaart dat encryptiesleutels en de security certificaten konden worden gelekt. “Gelekte sleutels maken het mogelijk dat de aanvaller het voorbije en toekomstig verkeer met de beveiligde dienst kan decrypteren, en desgewenst zich als de service kan voordoen,” lezen we. Van de security certificaten wordt gebruik gemaakt om de gebruiker (klant etc) te garanderen dat de service waar hij of zij gebruik wil van maken, ook echt de service in kwestie is. Die certificaten worden ‘uitgegeven’ door een ‘certificate authority’ (CA), die op zijn beurt de basis vormt voor het vertrouwen in die certificaten (het Nederlandse geval ‘Diginotar’ heeft pijnlijk aangetoond wat de gevolgen zijn van een onbetrouwbare CA).
Probleem bewezen
Na het bekend raken van Heartbleed werd aangenomen dat het lekken van de sleutels en certificaten niet zo makkelijk zou zijn, maar een recente test door Amerikaanse securitybedrijf CloudFlare spreekt dit tegen. Het bedrijf lanceerde de uitdaging zo’n certificaat te stelen van een server met de ‘Heartbleed’-lacune, en binnen de negen uur was dat reeds een feit. In totaal werd vier maal het certificaat gestolen.
Dit resultaat impliceert volgens experten dat de security certificaten van alle betrokken services – 500.000+ – zouden moeten worden ingetrokken, en hernieuwd. Dat zou zo zijn gevolgen hebben, want normalerwijze gaat een browser bij het bezoek aan een dergelijke service eerst nagaan of het betreffende certificaat nog geldig is. Als de lijst van ingetrokken certificaten zou aanzwellen tot honderdduizenden, zou die controle wel bijzonder lang kunnen duren, et gevolgen voor de toegankelijkheid en de nodige tijd… Bovendien is het de vraag in welke mate al die services ook echt het advies om de certificaten te veranderen zullen opvolgen, afhankelijk of ze zich van die noodzaak bewust zijn of niet (of daar worden op geattendeerd).
Eens te meer legt dit een bijkomende druk op de schouders van uitbaters van webwinkels, bedrijven en overheidsinstellingen, om duidelijk en snel over hun stappen inzake Heartbleed te communiceren: geïmpacteerd, ja -nee, en zo ja, hoe ver staat men met alle nodige stappen.
Fout opgemerkt of meer nieuws? Meld het hier