Het was deze week uitgebreid in het nieuws.

Er zit een zeer ernstige kwetsbaarheid in OpenSSL, waardoor de beveiliging van websites met een slotje plots niet zo veilig blijkt te zijn. Dit is één van de grootste beveiligings risico’s sinds het ontstaan van het internet!

Er wordt gesproken over een OpenSSL heartbleed bug omdat de beveiligde heartbeat verbinding tussen de server en jouw PC lekt.

OpenSSL draait helemaal niet op mijn PC of tablet

Windows, Apple en de meeste Samsung of andere Android apparaten maken zelf geen gebruik van OpenSSL. Android telefoons met Jelly Bean 4.1.1 blijken echter zelf wel een kwetsbare versie van OpenSSL te gebruiken.

Ongeacht welk apparaat: als je naar een website gaat waar een slotje verschijnt, wordt het verkeer versleuteld door de webserver en die draait dus in tweederde van alle gevallen wel OpenSSL. Hoeveel hiervan ook een kwetsbare versie OpenSSL gebruiken is niet bekend.

Nu gebleken is dat de versleuteling met OpenSSL niet veilig is, kunnen kwaadwillenden ongemerkt iedere keer stukjes data van die server opvragen. Dus niet van jouw PC maar van die webserver “aan de andere kant”. In die stukjes server data kan dus ook jouw wachtwoord of andere gevoelige informatie staan. Sterker nog, het kan zelfs zijn dat de encryptie sleutel in die data staat en dat dus al het beveiligde verkeer tussen alle browsers en die server kan worden meelezen.

Wat kan jij doen om weer veilig te kunnen internetten?

Eerlijk gezegd, voorlopig niet veel meer dan gewoon je updates installeren. Allereerst moeten een heleboel sites van een bijgewerkte versie van OpenSSL voorzien worden. Deze week zijn een groot aantal al direct bijgewerkt en de rest zal snel volgen. Omdat de kans bestaat dat iemand in het bezit is gekomen van de encryptiesleutel zal de eigenaar van de website ook een nieuw certificaat moeten aanvragen en installeren. Als dat allemaal klaar is moet jij je wachtwoorden gaan wijzigen. Maar er is natuurlijk niets op tegen om direct je wachtwoorden te wijzigen en dat volgende week nog een keer te doen.

Lang niet iedere site heeft publiekelijk toegeven dat ze kwetsbaar zijn en helaas zal ook lang niet iedereen een nieuw certificaat aanvragen. Maar ook als er geen nieuwe certificaat is uitgeven blijft het toch verstandig om je Facebook, Twitter, Google, Yahoo etc. account van een nieuw wachtwoord te voorzien. Denk niet alleen aan e-mail of social media, maar ook aan andere sites waar je gevoelige informatie mee uitwisselt.

Hoe kan je zien dat je favoriete site niet meer kwetsbaar is en een nieuw certificaat heeft geïnstalleerd? In het meest gunstige geval zal je een mailtje van je website krijgen. Maar kijk uit met die mailtjes: je kan er op wachten dat de hele phishing vloot ook zal proberen je wachtwoord te ontfutselen.

Je kan er natuurlijk gewoon naar een site gaan, op het slotje klikken en de informatie over het certificaat lezen. De aanvraagdatum moet dus na 7 april 2014 liggen. Maar je kan het veel eenvoudiger via de website van LastPass doen.

Als je dan toch je wachtwoorden gaat vervangen, maak ze dan niet allemaal het zelfde. Voorkom dat je in phishing mails trapt en gebruik je favorieten of bladwijzers om naar een site te gaan.

Han Balk | Fotografie | Windows | Blog | Security | old skool Bragg-watcher | Webdesign | Canon | Getrouwd | WordPress | Lightroom | Fuji | Vader van Iris | Social media | Internet en Meer...