Op maandag 7 april werd een grote kwetsbaarheid gevonden die bekend staat als "Heartbleed" in de populaire OpenSSL cryptografische bibliotheek, die veel wordt gebruikt met applicaties en webservers. De sites en services op internet zijn dus druk bezig met het patchen van deze kwetsbaarheid en het updaten van de SSL-certificaten om hun klanten te beschermen. Zoals gezegd zijn OpenSSL v1.0.1 tot en met 1.0.1f (inclusief) kwetsbaar en OpenSSL 1.0.1g, uitgebracht op 7 april 2014, lost deze bug op.
Een fragment van Heartbleed.com zegt:,
De Heartbleed Bug is een ernstige kwetsbaarheid in de populaire OpenSSL cryptografische softwarebibliotheek. Door deze zwakte kan de informatie worden gestolen die onder normale omstandigheden wordt beschermd door de SSL/TLS-codering die wordt gebruikt om internet te beveiligen. SSL/TLS biedt communicatiebeveiliging en privacy via internet voor toepassingen zoals internet, e-mail, instant messaging (IM) en sommige virtuele privénetwerken (VPN's).
Met de Heartbleed-bug kan iedereen op internet het geheugen lezen van de systemen die worden beschermd door de kwetsbare versies van de OpenSSL-software. Hierdoor kunnen aanvallers communicatie afluisteren, gegevens rechtstreeks van de services en gebruikers stelen en zich voordoen als services en gebruikers.
Controleer of uw site of Android-telefoon wordt beïnvloed door de Heartbleed-bug –
Er zijn enkele services die u kunnen vertellen of de site waaraan u uw informatie heeft toevertrouwd, kwetsbaar was of nog steeds is, en wanneer het certificaat is bijgewerkt.
De Heartbleed-test van Filippo Valsorda – filippo.io/Heartbleed
Voer een URL of een hostnaam in om uw server te testen op Heartbleed (CVE-2014-0160). U kunt een poort als deze specificeren voorbeeld.com:4433. 443 standaard.
LastPass Heartbleed-checker – lastpass.com/heartbleed
Kijk of een site kwetsbaar is voor Heartbleed. Het toont de serversoftware van de site, vertelt of deze kwetsbaar was en of het SSL-certificaat nu veilig is en wanneer het voor het laatst is gemaakt.
Chromebleed (Google Chrome-extensie)
Geeft een waarschuwing weer als de site die u bezoekt wordt beïnvloed door de Heartbleed-bug. Het controleert de URL van de pagina met behulp van Filippo's service. Handig als u de sites niet handmatig wilt controleren.
Mashable heeft een interessante lijst samengesteld van bekende sites met hun huidige status, of ze zijn getroffen en of u uw wachtwoord moet wijzigen.
Heartbleed-detector voor Android -
Android-gebruikers kunnen eenvoudig controleren of hun Android-apparaat kwetsbaar is voor HeartBleed-bug met een gratis app genaamd "Heartbleed Detector" van Lookout Mobile Security. De app bepaalt welke versie van OpenSSL uw apparaat gebruikt. Als uw apparaat een van de getroffen versies van OpenSSL gebruikt, controleert het vervolgens of het specifieke kwetsbare gedrag is ingeschakeld of niet.
Als uw apparaat echter kwetsbaar is, hoeft u geen actie te ondernemen, tenzij een patch wordt vrijgegeven door Google of de fabrikant van uw apparaat.
Tags: AndroidBeveiliging