Geen Heartbleed bij Tremani

Door Luuk Platschorre op 14 april 2014  |  blog

Het kan je haast niet ontgaan zijn dat op 7 april de ontdekking van een groot internet-veiligheidslek publiek bekend werd gemaakt. De Heartbleed-Bug werd in elk nieuwsbulletin genoemd. Grote vraag voor iedereen: heb ik er last van? Hieronder de uitleg, en de antwoorden. We kunnen de klanten van Tremani in ieder geval geruststellen!

Wat is de Heartbleed-Bug?

De Heartbleed-Bug is een foutje in de encryptiesoftware die in veel beveiligde websites wordt gebruikt. Het Secure Sockets Layer-protocol is een versleutelingstechniek die ervoor zorgt dat je een beveiligde verbinding kan opzetten met een website: je gegevens (naam, login, etc) kunnen dan niet door anderen worden gelezen. Veel sites waar je kan inloggen gebruiken deze techniek, te herkennen aan een (groen) hangslotje en/of het voorvoegsel "https" in plaats van "http" in de URL, zie de illustratie hieronder. 

Veel sites (niet alle!) gebruiken voor de techniek hierachter OpenSSL, een veelgebruikte implementatie van het SSL-protocol. En met de laatste versie van OpenSSL is het misgegaan. Voor meer technische info: lees de website www.heartbleed.com. De werking wordt overigens op geniale wijze beschreven in deze cartoon van XKCD
Kort-door-de-bocht samengevat: normaal gesproken is waardevolle data encrypted (versleuteld), en dus onleesbaar. Maar in dit geval kan een handige hacker een klein beetje willekeurige, onbeveiligde data opvragen bij een website. Als hij dat vaak genoeg doet, zit er soms wel eens iets bruikbaars tussen, zoals een wachtwoord en inlognaam.  

Deze bug zat alleen in de nieuwste versie van de OpenSSL-software (voor de kenners: versie 1.0.1 t/m 1.0.1f). Er is hiervoor onmiddellijk een patch uitgebracht, een update die het lek weer dicht. Deze is afgelopen week direct door alle hosting providers en webontwikkelaars toegepast. Alles zit weer dicht. Maar helaas is de kapotte versie al een hele tijd bij heel veel websites in gebruik, waardoor het mogelijk is dat jouw login het afgelopen jaar een keer ergens is opgepikt door iemand anders. En het vervelende is dat ook niet meer te achterhalen is óf dat is gebeurd, laat staan door wie. Dus wordt klanten aangeraden hun wachtwoord aan te passen.

Hebben Tremani-websites hier last van?

Nee! We hebben weliswaar op onze servers altijd gebruik gemaakt van OpenSSL, maar gebruiken een zeer conservatieve branch. Deze had bewust de nieuwste versie 1.0.1 niet geïmplementeerd, omdat die geen overtuigende voordelen bood, en niet 100% uitgetest was. Veiligheid boven alles. Geen enkele van onze applicaties heeft een probleem, ook de mailserver niet. Je hoeft als klant van Tremani dus geen wachtwoorden te veranderen voor sites en applicaties die wij beheren en aanbieden. 

Moet je dan nog andere wachtwoorden veranderen?

Ja, dat is wel aan te raden. Er zijn voldoende grote online diensten die een tijd lang "open" hebben gestaan, en niet weten of er inderdaad ongeautoriseerde gegevens door derden bij hen zijn opgevraagd. De website Mashable heeft een hitlijst samengesteld van grote sites waar je je wachtwoord eigenlijk nu moet wijzigen, en welke er niet hoeven. Een samenvatting, niet compleet maar wel handig: 

Wachtwoord wijzigen

Wijziging niet nodig

Niet bekend

FacebookLinkedInTwitter
InstagramAppleWordPress
PinterestAmazon
TumblrMicrosoft
Google (ook Gmail)Hotmail/Outlook
Yahoo (ook mail)eBay
EtsyPayPal
GoDaddyBanken (voorzover wij weten)
FlickrOverheid (voor zover wij weten)
Hulu Evernote
YouTubePasswordapps als 1Password
Netflix

Minecraft

Wikipedia (als je een account hebt)

Soundcloud

Dropbox

GitHub


Het kan nooit kwaad wachtwoorden eens in de zoveel tijd te wijzigen. Bij bovenstaande lijst aan de linkerkant lijkt dat nu een goed moment. En verder is het een goed idee even na te gaan bij welke webwinkels of andere online diensten iemand in jouw naam iets kan bestellen - daar lijkt wachtwoorden wijzigen op dit moment ook een slim idee. 

Voor vragen kunnen jullie altijd even bellen!

Meer vragen?

We kunnen ons voorstellen dat je hier meer vragen over hebt. Het gaat tenslotte om waardevolle gegevens, en de Heartbleed-Bug was daadwerkelijk een enorm groot beveiligingslek. Bel gerust voor meer informatie, of om even te weten wat je verder moet of kunt doen. 

Meld u aan voor onze nieuwsbrief