De grootste cyberdreiging ooit: Heartbleed

Beeld anp

Niet iedereen zal het gemerkt hebben, maar de internetwereld stond de afgelopen dagen op zijn kop. De reden? Heartbleed. Een van de grootste lekken in de beveiliging van het internet uit de geschiedenis. Als je een beetje handig bent kun je wachtwoorden en creditcardgegevens achterhalen. Paniek in de tent, maar moet de doorsnee internetgebruiker zich zorgen maken? Virus- en beveiligingsonderzoeker Mark Loman geeft antwoord.

Wat is Heartbleed?
"Heartbleed is een fout in de SSL implementatie. SSL zorgt ervoor dat computers veilig met elkaar in verbinding kunnen staan. Dit zie je aan het slotje in de adresbalk van de browser. Door versleuteling van informatie kunnen twee computers veilig informatie uitwisselen zonder dat het te zien is. Ongeveer tweederde van de websites maakt gebruik van SSL en dus zijn veel computers kwetsbaar voor hackers of anderen die willen meekijken."

Hoe werkt Heartbleed?
"Door een lek in de implementatie van SSL is het mogelijk om een 'pakketje' naar de server van een website te sturen. Die stuurt vervolgens een stuk van het geheugen van de site terug. Informatie die normaal gesproken niet te zien is, wordt hierdoor toegankelijk. In het teruggestuurde pakketje zitten allerlei gegevens over de site. Dus eventueel ook inlognamen, creditcardgegevens en wachtwoorden."

Kan iedereen nu je gegevens achterhalen?
"Met die inloggegevens krijg je inderdaad toegang tot iemands account, bijvoorbeeld het emailaccount. Je kunt dan zelf op zoek naar iets bruikbaars, zoals creditcardgegevens. En zo iets bestellen op de kosten van een ander."

"Toch is het voor kwaadwillenden maar afwachten wat de server terugstuurt en of je er iets mee kan. Het is niet mogelijk om te zeggen: doe mij de gegevens van die persoon. Het is net Russische roulette, het is afwachten wat je vangt."

"Sinds het lek bekend is geworden, is op internet makkelijk te vinden hoe je hier misbruik van kunt maken. Ook is er een programmaatje waarmee je je eigen apparaten kan testen, en dus ook die van anderen. Ik heb zelf uitgeprobeerd en kon heel simpel de wachtwoorden van een aantal mensen achterhalen. Die heb ik natuurlijk wel laten weten dat zij hun wachtwoord moeten wijzigen."

Moet je je zorgen maken?
"Ja en nee. Je hoeft niet bang te zijn dat er iets misgaat met internetbankieren. Banken hebben hun beveiliging prima op orde. Veel sites hebben inmiddels de nieuwe versie van SSL geïnstalleerd en zijn veilig. In de top-1000 van grootste websites, waren maar veertig sites vatbaar voor het lek. Grote sites als Google en Facebook hadden die update al voordat het lek werd ontdekt of hebben dat heel snel daarna gedaan."

"Toch moet je voorzichtig zijn. Yahoo is heel traag met updaten en daarom heel kwetsbaar. Van veel kleine sites weet je niet of ze goed beveiligd zijn. Heb je dus de afgelopen dagen ingelogd op een site die je niet vertrouwt, dan moet je gewoon je wachtwoord wijzigen."

Was de commotie dan om niks?
"Nee, het komt niet vaak voor dat er zo'n groot lek in de beveiliging zit. Er zijn nog steeds sites die SSL nog niet hebben geüpdate of besturingssystemen waarvoor nog geen update beschikbaar is. Het is simpelweg niet te zien of je veilig bent. Maar inmiddels is de rust teruggekeerd. We maken ons er nu zorgen om, maar het lek zat er al twee jaar. Ook zullen we in de toekomst vaker van dit soort dingen tegenkomen omdat er veel geld te halen valt."

Meer over

Wilt u iets delen met Trouw?

Tip hier onze journalisten

Op alle verhalen van Trouw rust uiteraard copyright. Linken kan altijd, eventueel met de intro van het stuk erboven.
Wil je tekst overnemen of een video(fragment), foto of illustratie gebruiken, mail dan naar copyright@trouw.nl.
© 2019 DPG Media B.V. - alle rechten voorbehouden