Wat is de OpenSSL Heartbleed-fout en waarom zou u erom geven?
Als een gewone internetgebruiker verwacht u dat de achtergrond van internet gewoon werkt . Alles wat zich achter de schermen afspeelt, alle codering, alle handshakes en elke kleine transactie zouden u een veilige manier moeten bieden om te communiceren en uw zaken online te doen zonder u zorgen te maken over hackers die in elke beweging rondsnuffelen. Helaas is dat niet hoe internet werkt, en de OpenSSL "Heartbleed" -bug is hier een definitief bewijs van. Er zijn een aantal dingen die u moet weten over deze bug, omdat deze naar alle waarschijnlijkheid meer bij u hoort dan u denkt.
Wat is OpenSSL ?!
OK, dus ik noemde OpenSSL twee keer en heb het je niet eens uitgelegd. Ziet u het kleine hangslotsymbool naast de " https: // " in uw browser wanneer u "beveiligde" sites invoert? Het ziet er ongeveer zo uit in de Chrome-webbrowser van Google:
Wanneer u dat ziet, gebruikt u een speciale vorm van codering die bekend staat als Secure Socket Layer (SSL) of Transport Layer Security (TLS). Om services van deze codering te voorzien, hebt u een algoritme nodig dat de codering / decodering biedt voor de pakketten die u met de server uitwisselt. Dit betekent dat ze een manier moeten hebben om je tekst te vertalen naar onleesbaar gebrabbel en dit vervolgens zelf naar de leesbare vorm vertalen. Met behulp van deze technologie, als een hacker op de een of andere manier erin slaagt om je verbinding met de server te verstoren, is alles wat hij zal lezen een lange reeks van gebabbel.
Nu komen we bij het onderdeel (eindelijk) waar we uitleggen wat OpenSSL is: het is een gratis en open-source implementatie van SSL / TLS-protocollen. Met deze technologie kan iedereen gecodeerde services aan u leveren. Veel bedrijven met wie u een account hebt, kunnen OpenSSL gebruiken om uw gegevens te versleutelen.
Maar wat als OpenSSL een bug heeft die het doel van codering volledig verslaat?
The Bug Explained
Op 10 april 2014 hebben de mensen bij PerfectCloud, een bedrijf voor identiteitsbeveiliging, gerapporteerd over een groot gat in de codering van OpenSSL die bekend staat als de 'Heartbleed'-bug. Gedurende twee jaar hebben we geen nieuwe versie van OpenSSL gezien en in die tijd had het een probleem in zijn code die een beetje servergeheugen blootlegde. Dit geheugenblok kan de privésleutels bevatten die worden gebruikt om gegevens te coderen / decoderen. Ouch!
Wat dit betekent is dat een hacker de cryptografische sleutels van de server kan ontdekken en eenvoudig alles kan decoderen dat u naar hem verzendt, inclusief uw gebruikersnaam, uw wachtwoord en al het andere dat belangrijk en dierbaar voor u is.
De bug is gerepareerd op 7 april 2014, maar dat betekent niet dat iedereen een update heeft uitgevoerd voor hun implementaties van OpenSSL. Grote internetbedrijven zoals Amazon en Yahoo hebben het probleem geregeld, maar dat betekent nog niet dat u klaar bent! Een hacker kan uw gebruikersnaam en wachtwoord in een lijst op dit moment hebben staan klaar om te worden gebruikt om toegang te krijgen tot andere accounts die u mogelijk elders heeft.
Wat zou je moeten doen?
Dus zelfs als een bedrijf een upgrade uitvoert naar de nieuwste OpenSSL-implementatie, loopt u nog steeds risico op eerdere blootstellingen. Als er echter nog meer hackpogingen plaatsvinden, zullen ze niet slagen. Wat u in deze situatie kunt doen, is uw wachtwoord overal wijzigen. Laat het niet wachten. Pas alles aan, zodat u voorbereid bent als een hacker ooit beslist uw accounts uit te proberen.
Nog meer gedachten?
Deze bug laat eenvoudig zien hoe delicaat en verweven het internet is. Ondanks het groeiende veiligheidsbewustzijn en ongereguleerde ontzagwekkendheid, is internet nog steeds internet en zal het altijd worden belegerd. Welke aanbevelingen heeft u voor bedrijven die OpenSSL gebruiken? Hoe veranderde uw begrip van beveiligingsecosystemen? Ben je ergens van in de war? Plaats uw mening over alles wat met OpenSSL te maken heeft in het opmerkingenveld hieronder!