Video: SSL certificaat installeren WordPress voor slotje & veilige verbinding (November 2024)
SSL, kort voor Secure Sockets Layer, is wat de S in HTTPS plaatst. Slimme gebruikers weten dat ze HTTPS moeten zoeken in de adresbalk voordat ze gevoelige informatie op een website invoeren. Onze SecurityWatch plaatst vaak kastijd Android-apps die persoonlijke gegevens verzenden zonder SSL te gebruiken. Helaas stelt de recent ontdekte "Heartbleed" -fout aanvallers in staat om SSL-beveiligde communicatie te onderscheppen.
De bug wordt Heartbleed genoemd omdat deze meeliften op een functie genaamd heartbeat, van invloed is op specifieke versies van de veelgebruikte OpenSSL-cryptografische bibliotheek. Volgens de website die is gemaakt om te rapporteren over Heartbleed, is het gecombineerde marktaandeel van de twee grootste open source webservers die OpenSSL gebruiken meer dan 66 procent. OpenSSL wordt ook gebruikt om e-mail, chatservers, VPN's en "een grote verscheidenheid aan clientsoftware" te beveiligen. Het is overal.
Het is slecht, echt slecht
Een aanvaller die van deze bug profiteert, krijgt de mogelijkheid om gegevens te lezen die zijn opgeslagen in het geheugen van de betreffende server, inclusief de belangrijke coderingssleutels. De namen en wachtwoorden van gebruikers en het geheel van de gecodeerde inhoud kunnen ook worden vastgelegd. Volgens de site: "Hiermee kunnen aanvallers communicatie afluisteren, gegevens rechtstreeks van de services en gebruikers stelen en zich voordoen als services en gebruikers."
De site merkt verder op dat het vastleggen van geheime sleutels "de aanvaller in staat stelt om eventueel verleden en toekomstig verkeer naar de beveiligde services te decoderen." De enige oplossing is om bij te werken naar de nieuwste versie van OpenSSL, de gestolen sleutels in te trekken en nieuwe sleutels uit te geven. Zelfs dan, als de aanvaller in het verleden gecodeerd verkeer heeft onderschept en opgeslagen, zullen de vastgelegde sleutels dit decoderen.
Wat gedaan kan worden
Deze bug werd onafhankelijk ontdekt door twee verschillende groepen, een paar onderzoekers van Codenomicon en een Google-beveiligingsonderzoeker. Hun sterke suggestie is dat OpenSSL een versie uitbrengt die de hartslagfunctie volledig uitschakelt. Met de introductie van die nieuwe editie konden kwetsbare installaties worden gedetecteerd, omdat alleen zij zouden reageren op het hartslagsignaal, waardoor "grootschalige gecoördineerde reacties de eigenaars van kwetsbare diensten kunnen bereiken."
De beveiligingsgemeenschap neemt dit probleem serieus. U vindt er bijvoorbeeld opmerkingen over op de website US-CERT (Verenigde Staten Computer Emergency Readiness Team). Je kunt hier je eigen servers testen om te zien of ze kwetsbaar zijn.
Helaas, er is geen gelukkig einde aan dit verhaal. De aanval laat geen sporen na, dus zelfs nadat een website het probleem heeft opgelost, is het niet te zeggen of boeven privégegevens hebben afgetapt. Volgens de Heartbleed-website zou het voor een IPS (Intrusion Prevention System) moeilijk zijn om de aanval te onderscheiden van regulier gecodeerd verkeer. Ik weet niet hoe dit verhaal eindigt; Ik zal rapporteren wanneer er meer te vertellen is.
