Hoe uitgebreid is de heartbleed-bug?

Nieuws deze week werd gedomineerd door discussies over de Heartbleed-bug, waarmee hackers gegevens rechtstreeks uit het geheugen van getroffen beveiligde servers kunnen ophalen. De vastgelegde gegevens kunnen coderingssleutels, wachtwoorden en alle gegevens zijn die zijn verzonden via een zogenaamd beveiligd HTTPS-kanaal. De bug is al meer dan twee jaar aanwezig en omdat de aanval geen sporen achterlaat, hebben we geen idee hoeveel er is misbruikt.

Wie is kwetsbaar?

De wachtwoordwizards van LastPass hebben een nieuwe rimpel toegevoegd aan het Security Check-rapport van het product. Nu geeft het, naast het markeren van zwakke en dubbele wachtwoorden, een overzicht van al uw opgeslagen sites die kwetsbaar zijn of waren voor Heartbleed. Ik vroeg een aantal mede-LastPass-gebruikers om me de resultaten van dat rapport te sturen, gewoon om een ​​idee te krijgen van wat er allemaal te vinden is.

Ik heb zelf meer dan 200 wachtwoorden opgeslagen in LastPass. Slechts zes van hen werden als kwetsbaar gemeld en twee waren al gepatcht. Het toevoegen van resultaten van mijn collega's, zag ik 50 kwetsbare sites, waarvan 30 nog steeds niet waren gepatcht.

Het LastPass-rapport beveelt aan dat u uw wachtwoord wijzigt voor sites die zijn gepatcht om de bug op te lossen. Voor de anderen suggereert het om te wachten tot nadat de site een update aankondigt, omdat uw gloednieuwe wachtwoord nog steeds kwetsbaar zou zijn. Voor mijzelf zou ik willen voorstellen Heartbleed te nemen als een wake-up call om al uw wachtwoorden te wijzigen, om ervoor te zorgen dat ze allemaal sterk zijn en dat geen twee sites hetzelfde wachtwoord gebruiken. U moet de wachtwoorden voor nog steeds kwetsbare sites opnieuw wijzigen nadat ze zijn opgelost, maar als u ze allemaal wijzigt, wordt de kans op blootstelling nu geminimaliseerd.

Top winkels

Voor een andere weergave nam ik Alexa's top 20 populairste winkelsites en voerde ze een aantal online tests uit. Onderzoeker Filippo Valsorda maakte een test kort nadat het Heartbleed-nieuws bekend werd. LastPass organiseert ook een test op aanvraag

Ik vond de testresultaten van Valsorda een beetje verwarrend. De test retourneerde een foutmelding zoals "kapotte pijp" of "i / o time-out" voor vijf van de 20 sites die ik heb geprobeerd. Negen sites kregen een duidelijke gezondheidsverklaring, omdat de test meldde dat ze 'gefixeerd of onaangetast' waren. De resterende zes retourneerden een foutmelding vanwege het feit dat de verbinding was doorgegeven aan een netwerk voor contentlevering en het certificaat van het CDN kwam niet overeen met het domein dat ik had ingevoerd. Als u het vakje aanvinkt om certificaten te negeren, heeft dit allemaal een "vast of niet-beïnvloed" resultaat, maar de testpagina waarschuwt dat dit een vals resultaat kan zijn.

De testpagina van LastPass geeft veel meer informatie. Het meldde tien van de sites als mogelijk onveilig. Dat betekent dat de test niet kon bepalen of de site OpenSSL gebruikt, de cryptobibliotheek die getroffen is door de Heartbleed-bug. Vier van de sites waren waarschijnlijk kwetsbaar, omdat ze OpenSSL gebruiken, en twee daarvan zijn nu veilig. Vier andere sites waren absoluut niet kwetsbaar, en een die zeker kwetsbaar was, is nu veilig. Dat laat slechts één site over die niet kon worden geanalyseerd vanwege een verbindingsfout.

De LastPass Heartbleed-tester rapporteert ook hoe recent het SSL-certificaat van elke site is gewijzigd. Een certificaat dat kort na het nieuws over Heartbleed werd gewijzigd, is een vrij goede indicatie dat de site is getroffen maar nu veilig is.

Wat betreft alle sites waarvan de status onduidelijk is, kunt u het beste wachten op een aankondiging van de site zelf. Wees echter op uw hoede. Klik niet op een link voor het opnieuw instellen van het wachtwoord die u in een e-mail ontvangt, omdat sommige daarvan fraude zijn. Navigeer direct naar de site, wijzig uw wachtwoord en zorg ervoor dat uw wachtwoordbeheerder de wijziging opmerkt.

Blijf op de hoogte van PCMag's voortdurende berichtgeving over de Heartbleed-bug.