'Ernstig lek in encryptieprotocol OpenSSL'

News Broadband Global 8 APR 2014
'Ernstig lek in encryptieprotocol OpenSSL'

De afgelopen twee jaar heeft een lek in beveiligingsprotocol OpenSSL er voor gezorgd dat alle met het encryptieprotocol werkende websites (OpenSSL 1.0.1 en 1.0.2) kwetsbaar waren voor cybercriminelen.

OpenSSL wordt vaak toegepast door websites die producten of diensten verkopen en websites die financiële transacties afhandelen. Nederlandse banken zeggen dat ze OpenSSL niet gebruiken en daarom geen last hebben van het lek. Het lek staat bekend onder de naam Heartbleed, meer informatie er over staat in een gelijknamig blog.

Volgens Reuters is de Heartbleed-kwetsbaarheid ontdekt door onderzoekers van Google en door de Finse security-aanbieder Codenomicon. Deze organisatie heeft daarop de website Heartbleed.com opgezet met informatie over oorzaak, gevolgen en waar er een patch te vinden is. Volgens Codenomicon bleek na een zelf opgezette aanval dat informatie bekeken kan worden op met OpenSSL-beveiligde sites zonder een spoor achter te laten.

Via het lek kan iedereen de versleuteling van dataverkeer omzeilen door het geheugen van servers uit te lezen. Het gaat onder meer om (privacy)gevoelige informatie, zoals wachtwoorden en betalingsgegevens, of versleutelde locatiegegevens. Er is een patch gemaakt (Fixed OpenSSL), maar die moet nog wel overal ingevoerd worden.

OpenSSL is het populairste open source versleutelingsprotocol en TLS (transport layer security)-toepassing om internetverkeer te versleutelen. Vooral op open source software gebaseerde server-systemen zoals Apache en nginx gebruiken OpenSSL. Beide systemen zouden een gezamenlijk marktaandeel van 66 procent hebben op het gebied van actieve websites. Ook mailservers worden met OpenSSL beveiligd.

Security-firma VeraCode stelt dat honderdduizenden web- en mailservers met OpenSSL wereldwijd zo snel mogelijk de patch moeten krijgen. Nu publiekelijk bekend is dat de kwetsbaarheid bestaat, verwacht de onderneming dat hackers er massaal gebruik van gaan maken. Internetconcerns zoals Google, Facebook, Yahoo en Amazon hebben al laten weten dat ze hun websiteservers geupdated hebben om de kwetsbaarheid weg te halen.

Categorieën:

Internet

Regio's:

Global

Tags:

Security, Network equipment

Gerelateerde artikelen

GLOBAL 17 MRT 2015

OpenSSL krijgt patch voor nieuwe kwetsbaarheid

Het encryptieprotocol OpenSSL blijkt opnieuw een kwetsbaarheid te bevatten. Dat blijkt uit informatie van het OpenSSL Project, dat aanstaande donderdag met een patch zegt te komen. Het is niet duidelijk voor welke nieuwe kwetsbaarheid de patch bedoeld is. OpenSSL wordt al geruime tijd gebruikt om internetverbindingen te beveiligen, bijvoorbeeld op het gebied van online bankieren en online aankopen. In 2014 bleken er twee kwetsbaarheden in OpenSSL te zitten, waarbij met name de zogeheten Heartbleed-kwetsbaar

GLOBAL 20 JAN 2015

Ruim helft webservers heeft nog kwetsbare OpenSSL-versie

Negen maanden na de ontdekking van een ernstige kwetsbaarheid in het encryptieprotocol Open SSL is nog altijd de helft van alle websites die het protocol gebruiken niet vernieuwd. Dat blijkt uit een rapport van netwerkleverancier Cisco. 56 procent van alle sites met Open SSL heeft nog geen update uitgevoerd om de kwetsbaarheid te verhelpen. Het bestaan van de Heartbleed-kwetsbaarheid in encryptieprotocol OpenSSL werd begin april openbaar gemaakt. Zo'n twee derde van alle webservers wereldwijd zou OpenSSL ge

GLOBAL 31 OKT 2014

Browser-aanbieders schrappen ondersteuning SSL 3.0

Browser-aanbieders Google (Chrome) en Microsoft (Internet Explorer) gaan in navolging van Mozilla (Firefox) de ondersteuning voor versleutelingsprotocol SSL 3.0 staken. Beveiliging van websites met SSL 3.0 zal dan niet meer door de meest gebruikte browsers ondersteund worden. SSL 3.0 werd in 1996 geïntroduceerd en kreeg in 1999 al een opvolger in TLS 1.0. Veel websites maken voor versleuteling echter nog gebruik van het oude protocol, reden voor website-aanbieders om SSL 3.0 nog steeds te ondersteunen. Het

GLOBAL 2 JUL 2014

Plug-in voor WordPress-CMS bevat gevaarlijke kwetsbaarheid

WordPress plug-in MailPoet blijkt een gevaarlijke kwetsbaarheid te bevatten, schrijft Automatisering Gids. MailPoet wordt gebruikt voor het versturen van nieuwsbrieven en alerts vanaf op het CMS-systeem WordPress draaiende sites. De kwetsbaarheid kan een hacker toegang bieden tot alle informatie op de site zonder de noodzaak van inloggegevens. MailPoet is 1,7 miljoen maal gedownload. De maker van de plug-in heeft een update ontwikkeld om de kwetsbaarheid te repareren.

GLOBAL 24 JUN 2014

Nog ruim 300.000 servers met heartbleed-kwetsbaarheid

Ruim 300.000 servers die encryptieprotocol OpenSSL gebruiken, zijn nog altijd kwetsbaar vanwege een niet gerepareerde Heartbleed-kwetsbaarheid. Dat schrijft security-aanbieder Errata op zijn website. Het bestaan van de Heartbleed-kwetsbaarheid in encryptieprotocol OpenSSL werd begin april openbaar gemaakt. Behalve servers zouden ook netwerkapparaten zoals routers en mobiele devices open staan voor hackers die misbruik van de kwetsbaarheid wilden maken. In eerste instantie telde Errata ruim 600.000 servers d

GLOBAL 6 JUN 2014

Nieuwe kwetsbaarheid ontdekt in OpenSSL

Er bestaat een tweede kwetsbaarheid in encryptieprotocol OpenSSL. De Japanse ontdekker van de kwetsbaarheid maakt er melding van op zijn blog. Het bestaan van het tien jaar oude lek is bevestigd door OpenSSL.org, een platform van OpenSSL-ontwikkelaars. De organisatie heeft ook al software aangeboden om de kwetsbaarheid te repareren. Een hacker die de kwetsbaarheid wil misbruiken, kan in het ergste geval de door via OpenSSL-encryptie beveiligde communicatie decoderen en bekijken.

NETHERLANDS 7 MEI 2014

57% bezitters mobiel toestel wil securitysoftware via operator

57 procent van de bezitters van een mobiel toestel (smartphone, feature phone) wil securitysoftware gaan gebruiken wanneer zij dit via hun mobiele operator kunnen regelen. Maar lang niet iedereen wil er ook voor betalen. 23 procent wil alleen gebruik maken van mobiele security van hun operator wanneer het gratis wordt aangeboden. 16 procent zegt er niet veel voor te willen betalen.

GLOBAL 1 MEI 2014

'Veel Android-devices nog last van Heartbleed-bug'

Veel Android-devices zijn nog altijd kwetsbaar voor hacker-aanvallen die de Heartbleed-kwetsbaarheid gebruiken. Dat schrijft Mashable. Miljoenen mobiele devices lopen nog op Android 4.1.1, die de Heartbleed-kwetsbaarheid bevat. Google heeft weliswaar al updates geelverd die voor bepaalde diensten de kwetsbaarheid repareren, maar veel telecomoperators en handsetleveranciers moeten de patch nog op de mobiele devices van hun klanten krijgen.

EUROPE 1 MEI 2014

Zorg, overheden, zwaarst aangevallen met malware in 2013

Er waren in Europa ruim 90 verschillende advanced persistent threats (APT) families actief in 2013. De zorgsector werd vorig jaar het meest aangevallen met 21 procent van het totaal aantal aanvallen door cybercriminelen. Ook overheden en financiële instellingen waren veelvuldig het slachtoffer van cyberaanvallen. Dat blijkt uit het Regional Advanced Threat Report voor Europa van FireEye, een Amerikaanse aanbieder van een virtueel beveiligingsplatform. Groot-Brittannië, Zwitserland, Duitsland en Frankrijk zi

NETHERLANDS 22 APR 2014

'Nederlanders maken zich zorgen over privacy bij bedrijven'

23 procent van de Nederlanders maakt zich vaak of regelmatig zorgen over de wijze waarop organisaties met persoonsgegevens omspringen. Nog eens 61 procent maakt zich hier soms zorgen over. Dat blijkt uit onderzoek van Ruigrok NetPanel onder 634 Nederlanders van 18 jaar en ouder, in opdracht van Adobe. Wanneer er iets mis gaat op het gebied van privacy bij een organisaties, dan volgt hier meestal een negatieve reactie op van de betrokkenen. 29 procent van de Nederlanders bespreekt misstanden met familie, vri

GLOBAL 18 APR 2014

Trend Micro komt met controle-app Heartbleed

Security-aanbieder Trend Micro heeft een gratis Android-app geïntroduceerd om mobiele apps te beschermen tegen exploitatie van de Heartbleed-kwetsbaarheid. Volgens Trend Micro zouden er 7.000 apps ontdekt zijn die de kwetsbaarheid hebben, waardoor hackers in staat zijn om informatie van het geheugen van de mobiele devices te halen. In 6.000 apps is de kwetsbaarheid nog steeds aanwezig. Door de begin april bekend gemaakte kwetsbaarheid in encryptieprotocol OpenSSL kunnen hackers persoonlijke gegevens kopiëre

GLOBAL 15 APR 2014

ENISA bekritiseert gebrekkige communicatie over Heartbleed

De Europese digitale veiligheidsinstantie ENISA (European Union Agency for Network and Information Security) bekritiseert de fragmentarische wijze waarop veel leveranciers van netwerkproducten met de Heartbleed-kwetsbaarheid communiceren met hun afnemers. Volgens ENISA lijkt er nauwelijks onderling overleg te zijn over de wijze waarop en met wie er gecommuniceerd wordt over genomen stappen of over stappen die afnemers moeten nemen om de kwetsbaarheid te verwijderen. ENISA stelt dat veel ondernemingen, zoals

UNITED STATES 14 APR 2014

'NSA wist van en exploiteerde Heartbleed-bug'

De Amerikaanse veiligheidsdienst NSA wist al twee jaar lang af van het bestaan van de zogenoemde Heartbleed-bug, zo meldt Bloomberg op basis van anonieme bronnen. De veiligheidsdienst zou het lek bewust stil hebben gehouden om zo gemakkelijker informatie te kunnen verzamelen. Heartbleed is een kwetsbaarheid in OpenSSL die onlangs door onderzoekers werd ontdekt. De NSA ontkent de aantijgingen. 

GLOBAL 14 APR 2014

BlackBerry komt met patches voor Heartbleed-bug

BlackBerry is van plan enkele security updates te lanceren voor iOS en Android om problemen met de  Heartbleed-bug te voorkomen. Heartbleed is een kwetsbaarheid in OpenSSL die onlangs door onderzoekers werd ontdekt. Hoewel BlackBerry aangeeft dat het gros van zijn mobiele toestellen niet over kwetsbare software beschikt, zijn de updates van toepassing op Secure Work Space corporate email en BBM messaging voor iOS en Android. BlackBerry zelf noemt de dreiging van de Heartbleed-bug op zijn apparaten echter 'e

EUROPE 11 APR 2014

Neelie Kroes bezorgd over gevolgen Heartbleed-kwetsbaarheid

Europees commissaris Neelie Kroes (Digitale Agenda) zegt bezorgd te zijn over de mogelijke gevolgen van de kwetsbaarheid in veiligheidsprotocol OpenSSL. Ze stelt te vrezen voor de zwaktes die de Heartbleed-kwetsbaarheid in OpenSSL bloot kan leggen in de Europese internetinfrastructuur. Kroes roept elke aanbieder van websites die gebruik maken van OpenSSL voor encryptie van internetverkeer om zo snel mogelijke de beschikbare patch voor de kwetsbaarheid te gebruiken en gebruikers van de sites goed en transpar

Vandaag

live blog
Vandaag
(Nog) geen nieuws...

Bekijk Vandaag

Bekijk Vandaag

Commentaar

14:35

Open Dutch Fiber met nieuw bestuur klaar voor nieuwe fase, maar is het voldoende?

08:43

Videomarkt komt tot rust en zal een groeivertraging laten zien

16:01

Paramount lijkt zijn bod op Warner Bros Discovery nog voor Kerst te verhogen maar of Netflix volgt, is onduidelijk - en er is een Plan B mogelijk

16:21

Netflix koopt Warner Bros uit gebrek aan een diepe catalogus

Achtergrond

14:23

Netflix met afstand grootste streamer, ook in Q3 2025

08:45

TP:Talks - NIBC Bank verschuift investeringsfocus naar datacenters

05:50

Afgelopen week in telecom: Wi-Fi-uitbreidingen zorgen voor groei, videomarkt op weg naar consolidatie

08:45

TP:Talks - Cellnex verstevigt positie in Nederlandse markt voor zendmasten en datacenters

Aanvullen profiel

Alvorens de whitepaper te downloaden willen we vragen je profiel aan te vullen met bedrijf en functie. Na bevestigen ontvang je de whitepaper.