Op 7 april 2014 hoorde de wereld van wat mogelijk de ernstigste beveiligingsbug in de geschiedenis van het internet is. Het heet Heartbleed.
Gelijktijdig ontdekt door Neel Mehta, een beveiligingsonderzoeker bij Google, en een Fins beveiligingsbedrijf Codenomicon, de bug compromitteert een beveiligingsprotocol dat vaak wordt gebruikt door apparaten en websites wereldwijd. Heartbleed maakt het voor een hacker mogelijk om gegevens te schrapen uit het geheugen – inclusief wachtwoorden, bankrekeningnummers en al het andere dat erin blijft hangen.
Aanbevolen video's
Door de ernst van de bug vroegen velen zich af hoe dit kon gebeuren. OpenSSL, het beveiligingsprotocol waarin een bug is gevonden, wordt over de hele wereld gebruikt. Het wordt niet alleen gebruikt in servers, maar ook in routers en zelfs sommige Android-smartphones. Je zou kunnen denken dat een verantwoordelijke partij een team van beveiligingsonderzoekers heeft die de code controleren en dubbelchecken, maar in werkelijkheid wordt OpenSSL beheerd door een kleine groep die voornamelijk uit vrijwilligers bestaat.
Verwant
- Een nieuwe WordPress-bug heeft mogelijk 2 miljoen sites kwetsbaar gemaakt
- De twee-factor-authenticatie van Twitter ondervindt problemen. Hier leest u hoe u van methode kunt wisselen
- HiveNightmare is een vervelende nieuwe Windows-bug. Hier ziet u hoe u uzelf kunt beschermen
Openen voor OpenSSL
OpenSSL pronkt met zijn open-sourceoorsprong in zijn naam. Het project, opgericht in 1998, is opgezet om een reeks gratis coderingstools voor internetservers te bieden. Dit was een belangrijk doel; encryptie is van cruciaal belang en gebruikelijk. Er was een vrije standaard nodig om ervoor te zorgen dat deze zo snel mogelijk zou worden aangenomen. Het project was enorm succesvol en werd al snel een van de belangrijkste beveiligingsinstrumenten op internet.
Toch resulteerde het succes niet in expansie of winst. OpenSSL genereert alleen inkomsten via ondersteuningscontracten, die toegang bieden tot probleemoplossing en advies van de organisatie zelf.
In totaal zijn slechts elf mensen, waarvan de meesten vrijwilligers, verantwoordelijk voor een kritische encryptiestandaard.
Dit resulteert in een voorspelbaar klein personeelsbestand. Het ‘kernteam’ bestaat uit slechts vier personen en het ontwikkelingsteam voegt nog zeven namen toe aan de lijst. Dat zijn in totaal slechts elf mensen, waarvan de meesten vrijwilligers, die verantwoordelijk zijn voor een kritische encryptiestandaard. Slechts één van hen, Dr. Stephen Hanson, richt zich volledig op OpenSSL. Alle anderen hebben nog een voltijdbaan.
Steve Marquess, die het geld van de organisatie beheert, zei het het beste. “Het mysterie is niet dat een paar overwerkte vrijwilligers de bug hebben gemist; het mysterie is waarom het niet vaker is gebeurd.
Er zijn fouten gemaakt
Dat is waar de hele crisis op neerkomt: een vergissing. De fout werd geïntroduceerd door Robin Seggelmann, een Duitse vrijwilliger die werkt aan een OpenSSL-extensie genaamd Heartbeat. Hij diende de code in op oudejaarsavond 2011 en glipte vervolgens door het beoordelingsproces. Heartbleed bestaat al ruim twee jaar, onbekend bij het publiek.
Andere leden van het project controleren de ingediende code tijdens de beoordeling nogmaals, maar er kunnen fouten optreden, dus het is geen verrassing dat er uiteindelijk een bug is geslopen. Zelfs miljardenbedrijven als Microsoft en Cisco worden getroffen door een groot aantal gênante exploits.
Het probleem komt voort uit het toewijzen van geheugen op basis van een waarde die kan worden gedefinieerd door een verzoek. Als de gebruiker een geldige invoer invoert, werkt de functie zoals bedoeld. Als er echter een ongeldig verzoek wordt gedaan, dumpt de code een deel van wat zich in het geheugen bevindt, inclusief informatie die veilig en gecodeerd zou moeten zijn. Deze webstrip legt ook Heartbleed uit, mocht u een visualisatie nuttig achten.
Sommige software-ingenieurs geloven dat het bestaan van de bug roept vragen op over de veiligheid van C, de code waarin de Heartbeat-extensie is geschreven. Hoewel populair, is C een complexe taal die veel kansen biedt op fouten in het geheugenbeheer en de verwerking van waarden. Een bug in een andere open-source SSL-implementatie, GnuTLS, verscheen een maand vóór Heartbleed en was ook geschreven in C. Die bug was zelfs nog ouder; de code die ervoor verantwoordelijk is, werd in 2005 toegevoegd.
Wat is de volgende stap?
Menselijke fouten zijn uiteindelijk de oorzaak van Heartbleed, maar de fout ligt niet alleen op de schouders van één enkele programmeur. OpenSSL is gratis software die wordt gebruikt door Fortune 500-bedrijven, overheden en zelfs militaire organisaties, maar deze teams dragen vrijwel nooit geld of mankracht bij aan het project.
Bedrijven en overheden lijken erg bezorgd, maar toezeggingen voor echte steun ontbreken onheilspellend.
De wereld moet ook van deze fout leren. Het gebruik van een open-sourceproject zonder eraan bij te dragen is op de lange termijn een recept voor een ramp – vooral als het project een cruciaal onderdeel is van de netwerkinfrastructuur. De veiligheid van het internet mag niet in stand worden gehouden door een handjevol vrijwilligers die hun naam alleen in het nieuws tegenkomen als er iets misgaat.
Aanbevelingen van de redactie
- Ransomware-aanvallen zijn enorm toegenomen. Hier leest u hoe u veilig kunt blijven
- Reddit is gehackt. Hier leest u hoe u 2FA instelt om uw account te beschermen
- SpaceX bereikt 100.000 Starlink-klanten. Hier leest u hoe u zich kunt aanmelden
- Uw Dell-laptop heeft mogelijk een beveiligingsprobleem. Hier leest u hoe u dit kunt oplossen.
- Wat is een DNS-server? Hier leest u hoe internet uw favorieten aanbiedt
Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.