Met bloedend hart…

heartbleedMijn blog van vorige maand ging over de veiligheid van je internetverbinding. Hoe toepasselijk bleek achteraf, want een paar dagen later werd het grootste internetlek sinds het begin van de jaartelling bekend gemaakt: de Heartbleed Bug

Ik zal in deze blog kort uitleggen wat die bug eigenlijk inhoudt, maar ik zal voornamelijk nog een keer uit te leggen waarom het zo belangrijk is dat je je internetveiligheid echt serieus moet nemen.

Heartbleed
De naam Heartbleed is een zinspeling op de functie Heartbeat in het beveiligingsprotocol SSL, dat iedereen dagelijks tegenkomt, of je het nou kent of niet. Zodra er in de adresbalk boven in je browser een slotje staat, of in de adresbalk begint het adres met ‘https’, dan maak je daar gebruik van. Denk aan verbindingen met de bank, of als je met je webmail, Facebook of LinkedIn bezig bent.

Er zijn maar een paar verschillende fabrikanten van SSL beveiliging. De meest gebruikte heet OpenSSL, en dat is juist degene met de fout. De Heartbeat functie houdt de verbinding tussen client en server actief. De client vraagt aan de server om een reactie, en de server geeft die reactie.

Het probleem bij OpenSSL was, dat de client kan opgeven uit hoeveel tekens het antwoord moet bestaan. Als je opgeeft dat de reactie van de server 65.000 tekens groot moest zijn, ging hij het echte antwoord aanvullen met willekeurige inhoud uit het geheugen van de server. En dat geheugen kon best wachtwoorden, privégegevens of andere gevoelige informatie bevatten. Omdat er informatie “lekt” op deze manier, is de bug Heartbleed gedoopt.

De mensen van xkcd hebben er een cartoon over gemaakt, die erg duidelijk is.

Zuinigheid bouwt niet altijd kastelen…
Een van onze klanten had, tegen ons advies in, om financiële redenen besloten om de firewalls op ongeveer 10 locaties niet meer te updaten met de nieuwste software. Omdat ook deze firewalls, net als duizenden andere apparaten, gebruik maakte van OpenSSL, moest er toch een update uitgevoerd worden, want anders was de veiligheid van deze locaties niet meer zeker.

De klant moest een nieuwe onderhoudsovereenkomst met de fabrikant afsluiten, wat een stuk duurder was dan het normale updatecontract. Hierdoor zijn onnodig kosten gemaakt en hebben ze onbedoeld grote risico’s gelopen.

In een wereld waar cybercrime snel op weg is om misdaad #1 te worden, is het super belangrijk om je veiligheid in de gaten te houden. Ga dus met je ICT leverancier om tafel zitten om te kijken waar bij jou de risico’s liggen.

Cybercrime trends
Vier grote trends om serieus te nemen zijn:

  1. Mobiele cybercrime. De wereld gaat mobiel, dus de cybercriminelen ook. Het grootste risico is mobiel bankieren. Telefoons met een opener systeem, zoals Android, zijn daar gevoeliger voor dan streng gecontroleerde systemen als IOS (Apple). Grote risico’s zijn Vishing (men belt u met een mooi verhaal), Smishing (SMS berichten die niet afkomstig zijn van wie het lijkt), onveilige mobiele apps, en bring your own device (“byod”, waarbij medewerkers hun eigen mobiele appratuur in het bedrijfsnetwerk gebruiken).
  2. Professionalisering van malware. Malware wordt tegenwoordig bijna alleen nog maar in opdracht van echte criminelen gemaakt. Zij zijn uit op bankgegevens, en willen door “man in the middle” attacks, waarbij je niet ziet dat iemand je internetverkeer onderschept en aanpast, bedragen van je rekening afschrijven naar het verre buitenland. Er is ook malware dat zich specifiek er op richt om van binnenuit banken aan te vallen. Daarvan heb je zelf minder last.
  3. Hacktivisme, wat neerkomt op radicale hackers, die zich uit principe richten tegen overheid en andere grote instituten. Net als de krakers uit de jaren 80, maar beter georganiseerd en meer underground. Ze werken steeds vaker samen met criminele hackers. Ben je een (semi-)publieke organisatie, neem dit serieus!
  4. Identiteitsdiefstal. Door het stelen van je login gegevens voor belangrijke sites, kan men vanuit jouw naam bepaalde contracten aangaan of artikelen kopen, waarbij de hacker het voordeel heeft (het gestolen goed) en jij het (financiële) nadeel. Wereldwijd wordt hier jaarlijks al meer dan € 400 miljoen aan verdiend! Op 2.8 miljard internetgebruikers is dat al 14 cent per internetgebruiker, dus een hele lucratieve business.

Neem actie!
Ik kan niet duidelijk sterk genoeg uitdrukken hoe belangrijk het is om je nu direct in te dekken. Zorg er echt voor dat je als ondernemer je beveiliging serieus neemt. Praat daarover met je ict leverancier, of liever nog met een expert op dat gebied.

Je kan nu ook direct al wat doen. Door de Heartbleed bug is de kans enorm groot dat een of meerdere van jouw wachtwoorden in handen zijn van criminelen. Ze hebben er nu waarschijnlijk nog niets mee gedaan, maar mijn advies is: verander op elke website die voor jou belangrijk is je wachtwoord voordat iemand jouw identiteit steelt! En zorg er voor dat je echt nergens hetzelfde wachtwoord gebruikt, zodat één hack niet al jouw veiligheid in gevaar brengt! Tip: Je nieuwe wachtwoorden kan je genereren en onthouden met het programma KeePass.

, , , ,

No comments yet.

Geef een reactie

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.