Techtip 4: the Heartbleed bug, hoe voorkomen?

Beste ondernemers,

De laatste weken worden we in de media overstelpt door waarschuwingen rond beveiligingslekken in Windows XP, Internet Explorer en dergelijke meer.

Uiteraard vergt de beveiliging van Uw netwerk de nodige aandacht, maar het gevaar van “over-informatie” kan voor een zekere laksheid zorgen.

Comitor zal de eerste zijn om U te waarschuwen voor onheilsprofeten. Desondanks vergt de heartbleed bug van enige tijd geleden toch Uw aandacht.

Deze bug is op 7 april 2014 bekend geworden. Dit is een kwetsbaarheid in programmeerbibliotheek OpenSSL. Een hacker kan uw geheime sleutels en certificaten achterhalen van uw server of een ander apparaat. Ook gevoelige informatie zoals wachtwoorden en klantgegevens kan worden achterhaald.

De hacker kan met de geheime sleutels van certificaten informatie achterhalen uit versleutelde verbindingen die worden gebruikt voor bijvoorbeeld websites, e-mail en VPN.

 

Wat kan er gebeuren.

Op afstand kan een hacker het apparaat benaderen en het interne geheugen van de applicatie die OpenSSL gebruikt, uitlezen. Telkens wanneer er een aanval uitgevoerd wordt, kan de hacker gegevens uitlezen. Naast geheime sleutels van certificaten, bevat het interne geheugen nog meer gevoelige informatie.

  • Bij een webserver à beschikken over alle broncode van de webapplicaties, wachtwoorden van systemen en klanten, sessiesleutels, afgeschermde informatie uit de webapplicatie en andere gevoelige informatie.
  • Bij een mailserver à beschikken over de inhoud van alle e-mail die op dat moment verwerkt wordt, wachtwoorden van gebruikers en andere gevoelige informatie.
  • Bij een VPN-server à beschikken over de informatie die op dat moment verzonden of ontvangen wordt en over inloggegevens van gebruikers. Daarnaast ook over andere gevoelige informatie die door de VPN-server verwerkt wordt.
  • Ook bij andere apparaten à aanvaller beschikken over alle informatie die in het geheugen van het apparaat verwerkt wordt. Welke informatie dat is, hangt af van de functionaliteit van het apparaat.

Wat dient je system engineer te doen?

  1. Op korte termijn te upgraden naar een versie van OpenSSL die niet kwetsbaar is.
  2. Indien upgraden niet kan, de heartbeat-functionaliteit uit te schakelen in OpenSSL.
  3. Certificaten en geheime sleutels vervangen die op kwetsbare apparaten hebben gestaan.

Wat kan je als eindgebruiker doen?

  1. Computer up-to-date houden
  2. Alle wachtwoorden aanpassen (nadat u geverifieerd heeft dat de website gepatcht is) https://filippo.io/Heartbleed/

Tot slot

Deze kwetsbaarheid vormt een groot risico voor de beveiliging van het netwerkverkeer: het is fundamenteel dat de geheime sleutels van certificaten geheim blijven.

Het is van groot belang, indien u over gevoelige informatie beschikt, dat u op korte termijn zorgt dat uw organisatie niet kwetsbaar meer is voor deze aanvallen.

Voor meer info:

EOS 50D_2797-3 (Kopie)Comitor BVBA
Jan Huybrechts
Nijverheidsstraat 8
2390 Malle
Tel
03/321.20.10
Mail: jan.huybrechts@comitor.be
Web: www.comitor.be

comitor-360px