Heartbleed bug nog steeds gevaarlijk (NL)

10-09-2014

News_HeartbleedAfgelopen week verscheen er op Security.nl een artikel dat Chinese hackers gegevens van 4,5 miljoen patienten hebben gestolen door gebruik te maken van de Heartbleed bug. Het is de eerste bekende inbreuk bij een bedrijf met behulp van de bug. Maar zeker niet de laatste, zo blijkt uit onderzoek van IT Security bedrijven SYCOMM en AET Europe.

De Heartbleed bug is een serieus beveiligingsgat in de OpenSSL-bibliotheek. OpenSSL is versleutelingssoftware die een beveiligde verbinding kan leggen tussen een client en server. In 2012 werd daar een TLS-extensie aan toegevoegd, genaamd Heartbeat. Deze extensie bevatte een implementatiefout die hackers kunnen uitbuiten om gegevens te bemachtigen. Deze bug werd al gauw bekend onder de naam Heartbleed.

SYCOMM en AET geven aan dat de Heartbleed bug een half jaar na ontdekking ten onrechte naar de achtergrond is verschoven. Tal van bedrijven hebben gigantische gaten in hun online beveiliging en het is slechts een kwestie van tijd voordat zij gehackt worden met alle consequenties van dien.

“Tal van bedrijven hebben gigantische gaten in hun online beveiliging en het is slechts een kwestie van tijd voordat zij gehackt worden met alle consequenties van dien.”

Het onderzoek van SYCOMM en AET richt zich voornamelijk op bedrijven en instellingen waarvan de servers niet gepatched zijn na bekendmaking van de Heartbleed bug. Verrassend genoeg vonden zij daar sites en servers van bekende verzekeraars, mediabedrijven, overheidssites en grote bedrijven tussen. Het blijkt dat ongeveer 300.000 sites nog steeds open staan voor Heartbleed exploitatie. Dit geeft aan dat bedrijven zijn gestopt met het patchen, of zich niet bewust zijn van hun problemen. En dat is slecht nieuws voor zowel gebruikers van de sites als de bedrijven zelf. De Heartbleed bug zorgt ervoor dat aanvallers gevoelige informatie kunnen bemachtigen, waaronder encryptie-sleutels, gebruikersnamen en wachtwoorden en inhoud van e-mail. De onderzoekers vonden dan ook honderden gebruikersnaam/wachtwoord combinatie van o.a. VPN servers, mail servers en web servers.

Heartbleed bug niet het enige probleem
De niet-gepatchde servers zijn niet het enige probleem. Onder de gevonden gegevens blijkt ook nog eens dat het grootste deel van de wachtwoorden die mensen gebruiken geheel onveilig zijn. Naast het feit dat ze in simpele Base64 zijn ge-encodeerd, is het gros van het kaliber: ‘welkom01’. Dergelijke accounts lopen sowieso een groot risico op een hack, los van de Heartbleed bug.

De onderzoekers maakten onder meer gebruik van de site van Project Unicorn, een soort van Google voor beveiligingslekken. Informatie wordt inzichtelijk gemaakt over sites en servers die nog open staan voor de Heartbleed bug. Er staan ongeveer 80.000 sites op un1c0rn.net, en meer dan 153.000 open hosts, een goudmijn voor hackers. De oprichter van Project Unicorn heeft als motto: “Raising awareness by kicking in the nuts”, iets wat aardig lijkt te lukken.

Het advies aan bedrijven is om te checken of zij nog open staan voor de Heartbleed bug. Zij moeten daarbij niet vergeten contact op te nemen met hun partnersites en sites waarvan ze eventuele plugins gebruiken. Daarbij dienen bedrijven hun gebruikers en medewerkers te instrueren over de gevaren van het gebruik van servers die niet gepatched zijn. Ook is het te adviseren om medewerkers De Heartbleed bug is een serieus beveiligingsgat in de OpenSSLbibliotheek. OpenSSL is versleutelingssoftware die een beveiligde verbinding kan leggen tussen een client en server. In 2012 werd daar een TLS-extensie aan toegevoegd, genaamd Heartbeat. Deze extensie bevatte een implementatiefout die hackers kunnen uitbuiten om gegevens te bemachtigen. Deze bug werd al gauw bekend onder de naam Heartbleed. goede sterke wachtwoorden te kiezen en niet dezelfde wachtwoorden te laten gebruiken binnen het bedrijf als buiten het bedrijf.

De onderzoekers:
Alex van Wijhe (MSc) is Security Consultant bij SYCOMM, een Security Service Integrator die gespecialiseerd is in PKI en end-to-end Security oplossingen.
Jan Rochat is CTO en medeoprichter van AET, een Nederlands bedrijf dat al meer dan 15 jaar wereldwijd security oplossingen in de markt zet.