Journalistiek

Onpartijdig, onafhankelijk nieuws, uitsluitend in dienst van het branchebelang.

Heartbleed laat een slagveld achter… en het is nog niet voorbij

  • Door
  • Jeroen Mulder
  • geplaatst op
  • 17 april 2014 08:01 uur

Vrijwel alle grote hosting- en datacenterpartijen in Nederland zagen direct de ernst van Heartbleed, het lek in OpenSSL waarmee hackers door bufferoverflow encryptiegegevens kunnen bemachtigen. De meeste bedrijven rolden zodra ze dat konden patches uit. De grote vraag is nu: is het voldoende geweest? Een blik over het globale IT-landschap leert één ding: Heartbleed heeft een slagveld achtergelaten waarin leveranciers van servers, beveiligingssoftware en applicatiesoftware eigenlijk maar deels zeker weten of het lek hun pecifieke portfolio heeft aangetast. Het gevaar is niet geweken. Nog lang niet.

CloudVPS, Leaseweb en Denit waren enkele van de partijen die direct reageerden en gemanagede systemen van klanten patchten. Ook kwamen deze partijen met uitgebreide instructies voor klanten die alleen virtual private servers afnemen en zelf daarop het management doen. Daarbij werd ook terecht geadviseerd om bestaande certificaten te vervangen: alleen het patchen van systemen is onvoldoende.  De schade lijkt in Nederland op voorhand beperkt. “We hebben geen aanwijzingen dat er actief gebruik is gemaakt van het lek en met het afgeronde spoedonderhoud is dit ook in de toekomst niet meer mogelijk, meldt Denit op haar website.

CloudVPS is minder stellig, maar geeft wel uitgebreid advies. “De kans bestaat [dus] dat de serversleutel (of in technische termen de ‘private key’ behorende bij uw SSL-certificaat) is buitgemaakt in de afgelopen twee jaar. Evenzo bestaat de kans dat uw eigen wachtwoord is buitgemaakt terwijl u inlogde op een server die kwetsbaar was. Veel gebruikers kiezen er daarom voor om overal de wachtwoorden te wijzigen en om voor de eigen SSL-certificaten een zogeheten ‘reissue’ aan te vragen waarbij zowel de private als publieke sleutel vernieuwd worden. Of dit ook voor u noodzakelijk is moet u zelf bepalen; enkel u kunt bepalen hoe groot de kans op misbruik is geweest en hoe groot de schade bij misbruik is.” En dat is het enige correcte antwoord.

Want de waarheid is dat niemand met zekerheid kan zeggen of het lek veelvuldig is gebruikt en of de problemen met alle acties die nu worden uitgevoerd, zijn opgelost. LeaseWeb verwijst klanten door een Heartbleed-checker waarop klanten kunnen zien of websites zijn geraakt door het lek. Maar: als het groene vinkje in beeld verschijnt, zegt dat nog niet alles. OpenSSL is namelijk diep verankerd in de IT-infrastructuur. Letterlijk op serverniveau. HP, Dell en IBM zijn sinds de openbaring van Heartbleed bezig met fixes in software op hun hardware. Heartbleed heeft bijvoorbeeld impact op HP Onboard Administrator, HP Smart Update Manager en HP System Management voor Linux en Windows. Het laatste product wordt op alle HP-systemen meegeleverd, met de kanttekening dat niet alle versies zijn geraakt.

Lastige puzzel
Ook bij Dell zien we de impact: bijvoorbeeld firmware op Dell’s SonicWall voor Secure Remote Access en het Global Management System voor Windows-systemen. Bij IBM zijn de AIX-platformen geraakt, maar het bedrijf heeft ook patches voor systemen die sofware gebruiken uit WebSphere, Sametime Community Server en Cloudant. Ook hier geldt dat niet alle versies last hebben van Heartbleed, maar dat per platform moet worden gekeken naar de kwetsbaarheid. En dat is zeker voor grote hosters en cloudproviders best een lastige puzzel. IT-infrastructuur mag dan op de eerste lagen homogeen zijn, zodra er klanten op systemen landen, is die homogeniteit vaak ver te zoeken en zul je een hele stack moeten onderzoeken op kwetsbare elementen.

Daarbij komt dat er elke dag nog hardware- en softwareleveranciers bijkomen die kwetsbaarheden in producten melden. De genoemde serverfabrikanten zijn nog steeds aan het onderzoeken en dat geldt ook voor softwareleveranciers. Het bericht van McAfee is bijvoorbeeld verontrustend: een hoop producten van deze securityspecialist lijken gevoelig te zijn voor Heartbleed, inclusief het veel gebruikte ePO Orchestrator, firewallsoftware, Web Gateway en Security for Microsoft Exchange. Producten die veel worden ingezet voor enterpriseklanten van hosters en SaaS-providers. Ook concurrenten Kaspersky en Symantec melden dat ze nog niet alles in kaart hebben gebracht. Voorlopig is grote waakzaamheid nog steeds geboden.

[advpoll id=”14″ title=”Vraag van de dag” width=”100%”]

Nog geen reacties

Laatste reacties

Bedankt voor het succes van ISPam.nl
Koen Stegeman, Editor-in-Chief & founder Hostingjournalist.com: Jammer Arnout, maar je hebt een mooie bijdrage aan de hosting industrie geleverd, en dat jaren lang....

Bedankt voor het succes van ISPam.nl
Dillard Blom: Jammer dat een 'instituut' verdwijnt, en daarmee een bron van informatie over actuele zaken (en opin...

Bedankt voor het succes van ISPam.nl
L.: Uit automatisme kijk ik toch nog steeds elke dag naar ispam.nl, toch de hoop dat er nog een berichtj...

Bedankt voor het succes van ISPam.nl
Toni Donkers: Arnout bedankt! ik ga het missen dat is een feit!

Bedankt voor het succes van ISPam.nl
Marcel Stegeman: Ik zie het nu pas. Inderdaad jammer maar ik kijk nu al uit naar het volgende project.