Heartbleed OpenSSL-bug: wat zeggen webbeveiliging, cloudexperts?

twee basisstations op Apple Airport waren kwetsbaar voor heartbleed, maar er is een bug verholpen

Deskundigen zeggen de Heartbleed OpenSSL-bug – een fout in de netwerksoftware die bedoeld is om uw gegevens te beschermen – heeft hackers mogelijk in staat gesteld juist die gegevens te stelen die het moest beschermen. Denk je dat je veilig bent voor deze obscure bug in OpenSSL, wat dat ook is? Denk nog eens na. Eén deskundige merkte op dat “bijna iedereen” het gebruikt.

“Gezien het feit dat meer dan de helft van de webservers ter wereld Apache gebruikt, en Apache OpenSSL gebruikt, gebruikt de meerderheid van de mensen applicaties die regelmatig bovenop OpenSSL worden gebouwd”, legt Steve Pate uit, de hoofdarchitect van het cloudservicesbedrijf HyTrust.

Aanbevolen video's

De Heartbleed-bug is een beveiligingslek ontdekt in OpenSSL, veelgebruikte netwerksoftware die de gevoelige gegevens codeert die u op veel populaire websites invoert. Deze fout stelt hackers in staat gegevens rechtstreeks van de geheugenchips van servers over de hele wereld te stelen, en bestaat al ongeveer twee jaar. Jean Taggart, een senior beveiligingsonderzoeker bij Malwarebytes, een bedrijf dat populaire anti-malwaresoftware maakt, beschreef het als een gemakkelijke manier voor oplichters om onzichtbaar uw gegevens op te vegen.

MEER: Wat is de Heartbleed-bug?

“Deze kwetsbaarheid geeft cybercriminelen een methode om zeer gevoelige informatie te verzamelen, zoals privé-coderingssleutels. Als een tegenstander de privésleutel via de Heartbleed-kwetsbaarheid heeft weten te ontfutselen, kan hij of zij zich voordoen als het slachtoffer en een niet-detecteerbare man-in-the-middle-aanval opzetten”, aldus Taggart.

OpenSSL heeft een geschiedenis van kwetsbaarheid voor aanvallen, zegt Pate, waarbij de eerste fout door HyTrust in mei 2009 werd opgemerkt. Pate merkt echter ook op dat hoewel OpenSSL 1.0.1 en 1.0.2-bèta al Heartbleed-bugfixes beschikbaar hebben, Als de getroffen versies worden gebruikt, is de exploit mogelijk al door hackers gebruikt om gevoelig te swipen gegevens.

 Taggart legde ook uit dat het uitroeien van het beveiligingslek geen gemakkelijke taak zal zijn.

“Het oplossen van deze bug zal niet triviaal zijn, want hoewel beveiligingsprofessionals een upgrade kunnen uitrollen, zullen velen hun certificaten niet resetten, omdat dit een moeilijke en langdurige taak is. Dus als ze vóór de aankondiging van de bug gecompromitteerd waren, zouden hun privésleutels dat al kunnen zijn in de handen van tegenstanders, en hun gecodeerde communicatie zou door derden kunnen worden onderschept partijen.”

MEER: Welke websites worden getroffen door de Heartbleed Bug?

Nathaniel Couper-Noles, hoofdbeveiligingsadviseur bij beveiligingsbedrijf Neohapsis zei dat hoewel er oplossingen en oplossingen beschikbaar zijn om Heartbleed te bestrijden, “het paard misschien al uit de schuur is.”

“Veel organisaties beschikken niet over de instrumenten om te identificeren of en waar ze kwetsbaar zijn; de aanval kan geen gevolgen hebben voetafdruk die te onderscheiden is van legitiem verkeer, en de gevolgen kunnen potentieel op de lange termijn zijn”, zegt Couper-Noles gezegd. Bovendien merkte Couper-Noles op dat er “honderden of duizenden getroffen systemen” zouden kunnen zijn in alle bedrijven ter wereld.

Op dit punt, het wijzigen van uw wachtwoorden is de beste manier van handelen die u kunt nemen om uzelf tegen de Heartbleed-bug te beschermen. Daarbovenop, het vermijden van de webpagina's op deze lijst met sites die naar verluidt zijn getroffen door de OpenSSL-fout, worden ook ten zeerste aanbevolen.

Afbeelding tegoed: http://www.wallpaperzzz.com

Aanbevelingen van de redactie

  • De maker van ChatGPT lanceert een bugbounty-programma met geldbeloningen

Upgrade uw levensstijlMet Digital Trends kunnen lezers de snelle technische wereld in de gaten houden met het laatste nieuws, leuke productrecensies, inzichtelijke redactionele artikelen en unieke sneak peeks.