- Door
- Jeroen Mulder
- geplaatst op
- 14 november 2014 08:00 uur
Eigenlijk is dit de meest shockerende zin in het hele onderzoek dat Dave Levin van de Universiteit van Maryland deed naar de impact van Heartbleed. “Eigenlijk heeft security de weekenden gewoon vrijaf genomen.” Gevolg was dat de aanpak van Heartbleed veel meer tijd in beslag nam, dan nodig en – bovenal – wenselijk was. Tijdens de weekenden werden activiteiten om kwetsbare websites te patchen, op een zeer laag pitje gezet.
Heartbleed was een fors probleem in april van dit jaar. Een lek in OpenSSL zorgde ervoor dat hackers eenvoudig websites binnen konden dringen door middel van bufferoverflow en vervolgens in staat waren om encryptiegegevens over te nemen. Miljoenen sites wereldwijd werden hiermee uitermate kwetsbaar. Veel beheerders gingen redelijk snel tot actie over, zo blijkt uit het onderzoek dat vorige week werd gepresenteerd. Levin deed met zijn team onderzoek naar een miljoen sites in de VS en constateerde dat 93% van deze sites binnen drie weken hun systemen hadden gepatcht. Helaas bleef het daar bij. Slechts 13% voerde ook aanvullende maatregelen door om de beveiliging te verbeteren.
In Nederland waren CloudVPS, Leaseweb en Denit er snel bij om hun klanten te waarschuwen en hen aan te sporen om certificaten in te trekken en te vernieuwen. CloudVPS drong in haar advies aan op een reissue van certificaten, maar of dit “noodzakelijk is moet u zelf bepalen; enkel u kunt bepalen hoe groot de kans op misbruik is geweest en hoe groot de schade bij misbruik is”.
Levin meldt dat er drie stappen noodzakelijk waren. Patchen van OpenSSL, het intrekken van de oude certificaten en het uitgeven van nieuwe. De meeste websitebeheerders patchten weliswaar de systemen binnen drie weken, maar implementeerden niet de volgende stappen. Hackers die dus al over PKI-gegevens van systemen beschikten, konden deze nog steeds gebruiken voor aanvallen. “Veel beheerders denken dat het probleem is opgelost als ze een nieuw certificaat uitgeven, maar het risico op een aanval blijft daarmee onveranderd. Je moet zowel een nieuw certificaat uitgeven en de oude intrekken”, aldus Tudor Dumitras, lid van het onderzoeksteam in een artikel op de universiteitssite.
Schokkender is de constatering dat er in het weekend nauwelijks nog aandacht was om de problemen op te lossen. Het team van Levin merkte op dat het aantal ‘revokes’ van certificaten in de weekenden fors afnam. Alsof de problemen er in het weekend niet zouden zijn. Levin legt hiermee de vinger op een gevoelige plek: blijkbaar hebben beheerders nog te weinig besef van de gevolgen van lekken zoals Heartbleed. Aanbevolen securitymaatregelen worden maar half doorgevoerd en, erger, alleen tijdens de werkweek, zo luidt de harde conclusie. Levin: “Als ik naar de resultaten kijk, dan schrik ik en ben ik verbaasd, zelfs een beetje bang. Tegelijkertijd zie ik het als een kans om verbeteringen door te voeren.”