Het internet heeft een zware hartaanval gehad
Er is de afgelopen dagen veel te doen geweest over een groot veiligheidslek dat grote delen van het internet bedreigt. Het lek, dat de naam Heartbleed draagt, werd afgelopen dinsdag door een paar onderzoekers ontdekt en sindsdien is de security-gemeenschap - laten we zeggen de mensen die er écht verstand van hebben - redelijk in paniek. Grote woorden als ‘het grootste lek ooit’ en ‘cybergeddon’ zijn al gevallen.
De onderzoekers vonden namelijk een fout in een stuk software van OpenSSL, een soort bibliotheek van beveiligingssoftware. Naar schatting maakt tweederde van alle servers van het internet gebruik van OpenSSL. Door Heartbleed zijn de gebruikers van de diensten die op deze servers draaien kwetsbaar voor hackers of overheden die welbewust gebruik maken van het softwarelek om informatie over de gebruikers te achterhalen. Zoals de onderzoekers zelf schrijven:
‘The Heartbleed bug allows anyone on the Internet to read the memory of the systems protected by the vulnerable versions of the OpenSSL software. This compromises the secret keys used to identify the service providers and to encrypt the traffic, the names and passwords of the users and the actual content. This allows attackers to eavesdrop communications, steal data directly from the services and users and to impersonate services and users.’
Het is een heftig verhaal. En vrij technisch. Ik blijf het de komende dagen volgen. Hieronder alvast twee artikelen die Heartbleed naar mijn smaak goed, helder en toegankelijk uitleggen en een link naar de blogpost van security-expert Bruce Schneier. Andere suggesties zijn meer dan welkom.
A digital heart attack (The Economist) Here’s everything you need to know about the Heartbleed web security flaw (GigaOM) Heartbleed (Bruce Schneier)