Er is een stevige bug ontdekt in een implementatie van het SSL protocol, dat is het protocol dat het internet nu juist veilig moet maken en houden, en deze bug heeft de naam Heartbleed gekregen. Het SSL protocol is wat alle sites die voor een veilige verbinding willen zorgen gebruiken, en wij kennen het van het slotje dat in je browser te zien is (in Safari links in de adresbalk).

Het gaat om een lek dat in OpenSSL gevonden is, alle sites die daarvan gebruik maken en de patch nog niet hebben toegepast zijn dan ook kwetsbaar. Als je wilt weten of een website die jij gebruikt (bijvoorbeeld je bank) nog steeds veilig is, dan kan je dat op deze site checken. Meer over het lek zelf is hier te lezen.

Apple heeft ondertussen in een verklaring laten weten, zoals op Re/code te lezen is, dat gebruikers van OS X en iOS veilig zijn en dat hun 'belangrijke' web-services veilig zijn:

Apple takes security very seriously. iOS and OS X never incorporated the vulnerable software and key Web-based services were not affected.

Jammer genoeg is niet duidelijk wat Apple precies bedoelt met "key Web-based services". Wij hebben iCloud.com even getest en dat domein blijkt inderdaad veilig te zijn. Voor het moment raden we iedereen aan om bij alle belangrijke SSL-verbindingen even te kijken of die wel veilig zijn.

Omdat er nu een oplossing is en de meeste sites die snel toe zullen passen lijkt er verder weinig te zijn om ons zorgen te maken. Maar omdat dit lek al twee jaar bestond blijft de vraag of daar in die periode misbruik van is gemaakt open staan. Wil je ervoor zorgen dat niemand van jouw wachtwoorden gebruik maakt lijkt het een goed idee om belangrijke wachtwoorden even aan te passen.

Ach... sowieso moet je gevoelige dingen zoals bankzaken zo min mogelijk via het internet doen. Via een mobiel apparaat al helemaal niet - SSL is op de wijze waarop het nu werkt een zeer slappe beveiliging en zeer vatbaar voor een "man-in-the-middle-attack".

SSL is op de wijze waarop het nu werkt een zeer slappe beveiliging en zeer vatbaar voor een "man-in-the-middle-attack".

Maak me wijzer, ik leer graag

DomP: http://xkcd.com/1354/

Man in the middle attack: iemand zit "tussen" jou en de server en doet zich voor als de server. Als hij de server correct kan imiteren, heeft-ie volledige controle.

@Powerbooky: het probleem is natuurlijk dat heel veel mensen hun zaken wel via internet regelen. Mobiel heeft er in dit geval niks mee te maken.

Een grammaticale fout, ge-emaild aan de redactie werkt niet. Het artikel kopt met: "Er is een stevige bug ontdekt in het SSL protocol, wat het internet nu juist veilig moeten maken en houden,"

Dit moet natuurlijk zijn : "Er is een stevige bug ontdekt in het SSL protocol, DAT het internet nu juist veilig MOET maken en houden,"

Wimusia: fout is gecorrigeerd.

Het lijkt toch weer wat gevaarlijker omdat al eerder gestolen SSL sleutels ook na het dichten van het lek geldig zullen blijven. Dit kan alleen opgelost worden door ook het certificaat te vervangen.
http://www.nu.nl/tech/3750209/internetlek-heartbleed-erger-dan-gedacht.html

de Redactie om 10:26, 12-04-2014
Wimusia: fout is gecorrigeerd.

Als je toch bezig bent, kun je dan het artikel nog een keer aanpassen?
Er staat nu dat er een fout in het SSL-protocol gevonden is. Dat is niet juist.
Er is een fout gevonden in de OpenSSL-implementatie van het protocol. Systemen die een andere SSL-implementatie gebruiken hebben geen last van deze bug.

Wanneer er een protocol-fout gevonden zou zijn, dan zou elke implementatie er last van hebben (en dat zou nog een stuk erger zijn...)

jaco123 om 14:30, 12-04-2014
 Wanneer er een protocol-fout gevonden zou zijn, dan zou elke implementatie er last van hebben (en dat zou nog een stuk erger zijn...)

Een 12 op de schaal van Bruce.  

We hebben hier wel een discussie over vermeende on-/veiligheid van het internet. Wat me nu weer opvalt: het heeft een prijs.
Mijn ISP, Xs4all, is niet goedkoop, wel goed. Zij nemen actie en communiceren daarover: Heartbleed: kritiek lek in OpenSSL (11 april 2014).
Bij andere providers (KPN, Ziggo, UPC, Tele2) kan ik nog niks vinden op hun site of ze überhaupt bezig zijn het mogelijke gevaar te elimineren.

@Flix:

All good, upc.nl seems fixed or unaffected!
All good, ziggo.nl seems fixed or unaffected!
All good, tele2.nl seems fixed or unaffected!
All good, webmail.kpnmail.nl seems fixed or unaffected!

All good....

Mijn punt(je) is dat de ISP dat zelf hoort te checken én vervolgens e.e.a. communiceert met zijn klant. Dit lek doet veel stof opwaaien, dat is duidelijk. Je hoort dan als aanbieder iets van je te laten horen.


En voor cricit hieronder: het gaat om het voorzien van info op de site, zodat je weet dat er wat gebeurd; heeft dus niks met lastig vallen te maken.

@Flix, Mijn ISP hoeft mij echt niet te laten weten wat ze dagelijks nu allemaal aan checks uitvoeren en hoe ze mij beveiligen tegen de boze krachten van het internet. Ik ga er van uit dat ze er bovenop zitten en eventuele problematiek oplossen. Zodra ik merk dat ze dat niet doen is het voor mij tijd om actie te ondernemen. Verder wil ik niet door mijn ISP lastig gevallen worden.

@ jaco123: we hebben de eerste zin van het nieuwsbericht aangepast, zodat er volgens ons geen  misverstand meer kan ontstaan.

Bedankt voor het aanpassen!

@TGV... nou ja, een mobiele of eigenlijk "draadloze" internet connectie maakt een "man-in-the-middle-attack" juist extra makkelijk. Het maakt niet meer zoveel uit of het nu om (ongecodeerde) wifi of gsm-data gaat.
Daarbij is een publieke ongecodeerde wifi hotspot het meeste voor de hand liggend en zat mensen die daar blind alles mee doen.

Een meer technische blik op wat er allemaal mis kan gaan met SSL... zie .

Misschien toch een TIP: Change Your Passwords For These 15 Heartbleed-Vulnerable Sites ASAP
Read more at http://www.cultofmac.com/273993/change-passwords-15-heartbleed-vulnerable-sites-asap/#2pTUkqTIS8A01duq.99

Ik heb de link getest om te zien of een webste/server fout zit/ Je krijgt dan dit antwoord (als voorbeeld de URL van Mac Freak  gebruikt) :
Uh-oh, something went wrong: dial tcp 83.98.141.31:443: connection refused
Check what it means at the FAQ.
It might mean that the server is safe, we just can't be 100% sure!

Dat antwoord krijg je bij heel veel URL's. Da;s lekker, heb je dus niks aan

@Zjootsuite, Wat is het nut van het wijzigen van je eigen wachtwoord op een site waarvan de encryptiesleutel op straat ligt?

@Cees Sweere: Die foutmelding betekent dat er op de betreffende URL geen HTTPS beschikbaar is. (Port 443 geeft geen sjoege.)

In andere woorden, deze link doet niks: https://www.macfreak.nl/

Slotje in Safaris aan de linkerkant is voor de nieuwere versies. In de oudere versies zie je een groene tekst aan de rechterkant van de adresbalk.

Wachtwoord wijzigen heeft pas zin als de site maatregelen heeft getroffen.

Gelukkig reageren veel Open SSL gebruikers wel snel en is bij veel van de sites genoemd door CultOfMac (zie bijdrage van Zjoosuite) een update gedaan. Voor https sites waar je een wachtwoord voor hebt en die nu 'veilig' zijn (check hier) is het gewenst je wachtwoord aan te passen omdat het mogelijk in het verleden is gestolen via de Heartbleed big.