De Heartbleed-bug is een OpenSSL-kwetsbaarheid waardoor kwaadwillende hackers informatie kunnen stelen van websites die normaal gesproken zouden worden beschermd door de SSL / TLS-codering. De open source OpenSSL-cryptografiebibliotheek wordt gebruikt om het Transport Layer Security (TLS) -protocol van internet te implementeren.
De Heartbleed Bug, genoemd door de onderzoekers die de beveiligingsfout ontdekten, geeft theoretisch iedereen op internet toegang tot een beveiligde webserver waarop bepaalde versies van OpenSSL draaien om site-encryptiesleutels, gebruikerswachtwoorden en site-inhoud te verkrijgen.
Volgens de officiële Heartbleed Bug-websiteOpenSSL 1.0.1 tot en met 1.0.1f (inclusief) zijn kwetsbaar, terwijl OpenSSL versie 1.0.1g de beveiligingsfout herstelt.
Heartbleed Flaw Creation en Bug Discovery
De Heartbleed-bug werd aanvankelijk ontdekt door Google-ingenieur Neel Mehta en het Finse beveiligingsbedrijf Codenomicon. De beveiligingsfout werd geïntroduceerd in het open source OpenSSL-coderingsprotocol door de Duitse softwareontwikkelaar Robin Seggelmann. Sinds de fout algemeen bekend is geworden, heeft Seggelmann gezegd dat de bug per ongeluk werd gemist door hemzelf en een andere code-recensent en dat de bug niet kwaadwillig was ingevoegd, ondanks online complottheorieën over Heartbleed, zoals NSA die de Heartbleed-bug gebruikt om te spioneren.
The Heartbleed Bug in het nieuws
Heartbleed Bug-geruchten
RCMP vroeg Revenue Canada om nieuws over SIN-diefstallen uit te stellen
Heartbleed-bug bijt miljoenen Android-telefoons
Heartbleed-bug: wat is getroffen en welke wachtwoorden u moet wijzigene
Tests bevestigen dat Heartbleed-bug de privésleutel van de server kan blootleggen
Heartbleed aanvallen
Er zijn enkele gedocumenteerde gevallen van aanvallen waarbij misbruik wordt gemaakt van de Heartbleed-bug, maar beveiligingsexperts waarschuwen dat het gebruik van de bug geen spoor achterlaat en dat alle websites die de getroffen OpenSSL-versies gebruiken als gecompromitteerd moeten worden beschouwd.
Hoewel veel grote sites, waaronder Google, Facebook en anderen, snel opmerkten dat services ‘veilig’ waren voor Heartbleed, lijkt de openbare aankondiging op 8 april 2014 aanleiding te hebben gegeven tot aanvallen. Het Canada Revenue Agency (CRA) sloot de openbare onlinediensten af om de fout te herstellen, maar voordat de oplossing werd geïmplementeerd, zei de CRA dat 900 burgerservicenummers van CRA-computers waren gestolen door personen die de Heartbleed-bug uitbuitten.
Bij een andere gerapporteerde aanval, op de Britse ouderschapswebsite, Mumsnet, beweert ook een inbreuk te hebben meegemaakt waarbij de infiltrant beweerde Heartbleed te hebben gebruikt om toegang te krijgen tot een account. De site heeft enkele details aan zijn gebruikers verstrekt, samen met instructies voor het resetten van sitewachtwoorden.
Heartbleed: Beyond the Internet
De Heartbleed-bug reikt verder dan internet. Mobiele apparaten met het Android-besturingssysteem 4.1.1 (uitgebracht in 2012) hebben bijvoorbeeld de Heartbleed-softwarefout. Alle andere versies zijn immuun voor de fout, maar hierdoor zijn miljoenen smartphones en tablets kwetsbaar. Bovendien zijn besturingssystemen, waaronder Debian Wheezy (stabiel), Ubuntu 12.04.4 LTS, CentOS 6.5, OpenBSD 5.3 en OpenSUSE 12.2 versies die zijn geleverd met een kwetsbare OpenSSL-versie (zie volledige lijst).