Heartbleed is een veel besproken onderwerp van de week, enkele dagen geleden werd bekend gemaakt dat er een kwetsbaarheid is gevonden in OpenSSL. De problemen zijn al ruim twee jaar actief alleen zijn de problemen sinds vorige week opgedoken.
Deze SSL kwetsbaarheid staat ook wel bekend als Heartbleed. De kwetsbaarheid is niet ontstaan door een cyberaanval, maar is een fout van een van de OpenSSL programmeurs. De programmeurs zijn namelijk tijdens het oplossen van een aantal bugs vergeten om diverse variabelen toe te voegen, hierdoor is ook Heartbleed ontstaan.
Door dit kleine foutje is er een zeer grote kwetsbaarheid ontstaan in het systeem waarbij OpenSSL draait. De problemen zijn niet alleen gevonden in servers, maar ook bijvoorbeeld in routers en netwerk apparatuur van Cisco en Juniper. Beide bedrijven hebben aangegeven dat ze de problemen gaan onderzoeken.
Gevoelig voor misbruik?
Er kan zeker misbruik gemaakt worden door cybercriminelen. Hackers kunnen versleutelde informatie achterhalen en bijvoorbeeld server dwingen om informatie van het privé geheugen te tonen, hierbij gaat het vooral om wachtwoorden en versleutelde data. Ook een groot deel van de websites is besmet, uit een onderzoek blijkt dat ruim 66 procent van de websites onveilig zou zijn door de Heartbleed kwetsbaarheid. Veel websites hebben ondertussen de problemen opgelost met een update van OpenSSL.
Als je gebruik maakt van Apache en Nginx dan is de kans groot dat de VPS kwetsbaar is voor de Heartbleed bug. Allereerst is het belangrijk om de OpenSSL software te updaten naar de meest recente versie. Ook is het verstandig om het oude certificaat te vervangen door een nieuwe SSL certificaat. Voor de zekerheid is het ook verstandig om een wachtwoord te veranderen, zodat eerdere uitgelekte wachtwoorden niet werkzaam zijn.
