Op 8 april is een zeer ernstige kwetsbaarheid in OpenSSL publiekelijk bekend geworden. Deze kwetsbaarheid is ook bekend als Heartbleed bug en CVE-2014-0160. Deze bug kan via verschillende wegen gevolgen hebben voor u, omdat OpenSSL op veel plaatsen gebruikt wordt. Met dit blog willen wij de meest voorkomende vragen beantwoorden.
Waarop komt/kwam deze bug voor?
Systemen en software met OpenSSL met een versie tussen 1.0.1 en 1.0.1f zijn kwetsbaar voor deze bug.
- Een kwetsbare OpenSSL versie kan gebruikt zijn op servers/websites waarvan u gebruik gemaakt hebt. Onder andere Facebook, Gmail, WordPress en Dropbox zijn bekende websites die getroffen zijn door deze Heartbleed bug. Er zijn op verschillende plekken lijsten te vinden met getroffen websites.
- OpenSSL kan onderdeel uitmaken van de door u gebruikte clientsoftware, zoals sommige mailclients, bepaalde Android versies, etc.
- Indien u servers/websites beheert die gebaseerd zijn op Apache, Nginx, Linux/Unix of Direct Admin/Cpanel, dan is de kans groot dat deze kwetsbaar is/was. Maar ook andere systemen met een andere andere basis kunnen getroffen zijn.
Wat kunnen de gevolgen zijn van deze bug?
In hoofdlijnen kunnen de gevolgen zijn dat wachtwoorden niet meer veilig zijn en versleutelde inhoud door kwaadwillende uitgelezen kan worden. Daarmee kan een kwaadwillende zich voordoen als een gebruiker en het huidige, maar ook ‘opgenomen’ versleutelde verkeer decoderen en dus lezen.
Wat kan ik aan deze bug doen?
- Wijzig wachtwoorden op plekken waar deze OpenSSL bug van toepassing was, maar wel pas nadat die bug inmiddels verholpen is.
- Ga na of door u gebruikte websites/servers getroffen zijn geweest, of dit probleem daar inmiddels is opgelost en wijzig daar uw wachtwoord.
- Zorg dat uw clientsoftware up-to-date is en neem bij twijfel contact op met de leverancier wat te doen. Ook in deze gevallen is het aan te raden uw wachtwoord te wijzigen.
- Zorg dat OpenSSL versie op uw servers/websites/routers/firewalls bijgewerkt wordt naar 1.0.1g of nieuwer. Vraag daarna een heruitgifte aan (op basis van een andere private key) van uw certificaten. Vervang de certificaten op de getroffen machines, maar ook op machines die eventueel hetzelfde certificaat gebruiken. Raad de gebruikers daarna aan de wachtwoorden te wijzigen.
- Houd uw gevoelige accounts -zoals uw bank en e-mailaccounts- in ieder geval de komende tijd extra goed in de gaten.
Zijn diensten van BIT getroffen door deze bug?
Op shared diensten van BIT is deze Heartbleed bug niet van toepassing, omdat deze shared diensten load balanced worden geleverd. Op onze load balancers wordt de SSL-afhandeling niet met OpenSSL gedaan. Het is dus bij diensten van BIT niet noodzakelijk uw wachtwoord te laten wijzigen. Uiteraard kunt desgewenst wel een wachtwoordwijziging aanvragen bij ons, zeker indien u twijfelt over een OpenSSL versie in een door u gebruikte client.
Wat heeft BIT gedaan nadat deze bug bekend werd?
Voor klanten die systeemonderhoud afnemen bij BIT hebben wij gezorgd dat die servers voorzien werden van OpenSSL 1.0.1g. BIT is -zover dat mogelijk is- nagegaan voor klanten die bij BIT een SSL-certificaat hebben afgenomen of zij kwetsbaar waren door deze bug. Klanten die kwetsbaar waren zijn benaderd door BIT. Klanten waarvan BIT niet heeft kunnen vaststellen dat zij kwetsbaar waren, maar wel een SSL-certificaat hebben afgenomen bij BIT zijn ook benaderd. We hebben alle door BIT gebruikte certificaten vernieuwd en vervangen, ondanks dat er geen OpenSSL gebruikt wordt op onze load balancers.