Hoe kon dit gebeuren, vraagt iedereen zich af? We komen toch nog even terug op het nieuws van de Heartbleed bug, dat verleden week bekend gemaakt werd. Velen zullen, bij het horen van het nieuws, de schouders opgehaald hebben. "Ver van mijn bed", zullen ze gedacht hebben. En ergens zijn de beveiligingsbedrijven daar ook wel een beetje schuldig aan, omdat zij om de haverklap een onheilspellend bericht de wereld insturen, alleen al om de gebruiker te overtuigen van de noodzaak van goede beveiliginssoftware - lees: de hunne. Toch is de heartbleed bug wel degelijk serieus te nemen. 2/3 van de servers op het internet werkt immers met OpenSSL, de technologie waarin dit beveiligingsgat zit. En dus is het nodig dat er snel actie ondernomen wordt.
40.000 van de +500.000 certificaten vernieuwd Zoals verleden week uitgelegd, betekent dit dat de webmasters en systeembeheerders om te beginnen meteen de nieuwste versie van OpenSSL moeten toepassen, die de bug niét meer bevat. En verder moeten zij zo snel mogelijk hun SSL-certificaat vernieuwen, omdat dit gecompromitteerd kan zijn. Zo'n certificaat bevestigt namelijk dat de website is wie ze beweert te zijn, waarna de SSL-sessie opgestart wordt - bij je internetbankieren, je online shoppen, kortom alles wat via een SSL-verbinding werkt, herkenbaar aan de groene balk bij de Firefox adresbalk. En moeten de webmasters en systeembeheerders duidelijk communiceren over de maatregelen die zij genomen hebben. Tot nu toe blijken deze adviezen wereldwijd niet ter harte genomen te worden - ondanks de ernst van de bug, die ervoor zorgt dat stukken uit het geheugen van de computer door hackers ingekeken kunnen worden. Van de meer dan 50.000 certificaten wereldwijd zijn er nog maar 40.000 vernieuwd. Volgens Netcraft behoren alvast Yahoo, Adobe, FloudFlare, DuckDuckGo, GitHub, Reddit, Launchpad, PayPal, Netflix tot de goede leerlingen. (1)
Vrijwilligerswerk In het kader van deze bug zijn er vragen gerezen over het feit dat deze technologie, OpenSSL, open source is. Vrijwilligerswerk, dat draait op de inspanningen van hoogstens 10 mensen, die het "na hun uren" doen. Is het verantwoord om het hele internet, of althans 2/3 ervan, te laten berusten op zulk vrijwilligerswerk? In dit geval was de bug terug te leiden tot een jonge Duitse wetenschapper, die twee jaar geleden per vergissing een stukje code inbouwde dat de hele technologie onbetrouwbaar maakte. Kwatongen zetten de grootste vraagtekens achter die toevalligheid, en zien er de hand van NSA en consoorten in. Maar zover willen wij niet eens gaan. Vergissen is menselijk, maar de schaal waarop deze vergissing de veiligheid van versleutelde communicatie in gevaar brengt, had niet mogen gebeuren. Volgens het team zelf ligt het gebrek aan geld mee aan de basis van de fout: door te weinig fondsen (het project moet het hebben van donaties) kon de bug niet alleen ontstaan, maar ook 2 jaar lang ongemerkt blijven. Bij Ars Technica (2) en Wall Street Journal (3) lees je een achtergrond artikel over het team dat aan OpenSSL werkt, en hoe het project ontstaan is. Wall Street Journal koppelt er wel een bedenking aan vast: zou zo'n groot deel van het internet op één enkele technologie mogen berusten om geheimhouding te waarborgen? Want wanneer je een monocultuur hebt, is er maar één bug nodig om iedereen onveilig te maken...
http://news.netcraft.com/archives/2014/04/11/heartbleed-cert ...
http://arstechnica.com/information-technology/2014/04/its-no ...
http://online.wsj.com/news/articles/SB1000142405270230387360 ...
|