Direct naar artikelinhoud
Website logo

Heartbleed-zwakte lijkt nog groter dan gedacht

Het veiligheidsprobleem op internet is nog groter geworden. Het 'slotje' in de adresbalk van beveiligde websites blijkt niet alleen gekraakt op computers. Ook miljoenen mobiele telefoons en netwerkapparatuur blijken kwetsbaar.

De afgelopen dagen werd duidelijk dat tot 60 procent van alle websites het 'slotje', OpenSSL, gebruiken om beveiligde verbinding op te zetten met de browsers van eindgebruikers. Zo kunnen die zonder pottenkijkers elektronische betalingen doen en vertrouwelijke gegevens op internet zetten.

De bug beïnvloedt een onderdeel van OpenSSL, Heartbleed genoemd. Het is een stukje software dat signalen naar een website stuurt, om te zien of die online is en informatie goed ontvangt. Door de weeffout kunnen hackers valse 'klopsignalen' sturen, waarna de websites de gegevens terugsturen die op dat moment in het geheugen zitten van de computer waarop de website draait.

Beveiligingsdeskundigen noemen de bug verreweg de grootste ramp die het internet in twintig jaar is overkomen. "Dit is als ontdekken dat de airbags in je auto niet werken. Elke auto met een airbag heeft dan hetzelfde probleem", stelt Rafal Rohozinsky, topman van de Canadese cyberdenktank SecDev Group. Bruce Schneier, een van de meest vooraanstaande veiligheidsexperts ter wereld treedt hem bij: "Op een schaal van 1 tot 10 is dit een 11." Dat het probleem nu ook de kop opsteekt op mobieltjes en netwerkapparatuur maakt de toestand nog zorgwekkender.

Een snelle remedie tegen de bug in routers en firewalls is er volgens hem niet, of het moet de vervanging van de kwetsbare apparaten zijn. Hoewel systeembeheerders overuren maken om het gat te dichten, zijn er aanwijzingen dat hackers nu al misbruik maken van de Heartbleed-bug.

Consumenten kunnen niets beginnen tegen de Heartbleed-bug. Het is een manco dat alleen de beheerders van websites kunnen verhelpen. Tot dat gebeurt heeft het geen zin je wachtwoord te veranderen. Doe je dat voordat het gat is gedicht, dan kunnen 'meeluisterende' hackers je nieuwe wachtwoord onderscheppen.

Persagentschap Bloomberg zegt intussen dat de Amerikaanse veiligheidsdienst NSA al zeker twee jaar op de hoogte was van Heartbleed. Ze zouden het lek ook zelf gebruikt hebben om informatie te verzamelen.