OpenSSL; waar blijft toch mijn wc-papier?

Juriën van Gemerden - ogenschijnlijk niet relevant detail is dat ik dit artikel type terwijl ik op de wc zit, toch moet het volgende mij van mijn hart. Tot op gisteren had ik nooit van Heartbleed gehoord maar sinds maandag 7 april 2014 heeft het mijn aandacht.

Heartbleed bug

En niet zo zeer de OpenSSL-bug en de technische maatregelen waar iedereen over praat en schrijft, maar eerder de manier hoe er met een dergelijk wereldwijd probleem wordt omgegaan .

Sinds 7 april 2014 is bekend geworden dat OpenSSL een update krijgt tegen de Heartbleed kwetsbaarheid ( CVE-2014-0160 ). En verschijnen er volop blogs en nieuwsberichten die informatie geven over de inhoud van dit beveiligingslek en over welke maatregelen je kan nemen, namelijk:

  • Upgrade OpenSSL naar meest recente versie
  • Genereer nieuwe PRIVATE sleutels
  • Vervang al je SSL certificaten

Maar wat ik nauwelijks terug zie zijn berichten over de werkelijke omvang van dit probleem. Dit komt volgens mij omdat het voor niet-IT’ers erg lastig is om voor te stellen wat het betekent een gehacked systeem te hebben. Laat staan dat het ze überhaupt iets interesseert. Tijd dus voor een meer tastbare uitleg.

Hoe zit het dan met de werkelijke omvang?

Help! Een inbreker - deel 1:

Stel, je gaat een weekendje weg.  Bij thuiskomst tref je je huis als volgt aan: Raam ingegooid. Alle kasten overhoop. Je TV weg, radio weg, zelfs de foto van je hond is gejat. De kluis is nog intakt, gelukkig, die konden ze niet meenemen. Balen natuurlijk. Maar met wat behulpzame buren en een goede verzekering ben je binnen een week weer helemaal hersteld. Herkenbaar en goed te volgen,toch?! Maar nu de stap verder richting IT.

Help! een inbreker - deel 2:

Het is inmiddels een jaar geleden dat er was ingebroken, eigenlijk ben je het al lang vergeten. Met alle drukte op je werk en alle verplichtingen heb je ook wel iets anders aan je hoofd. Je gaat iedere dag naar je werk. Je vertrekt om 8:00 uur en komt om 18:00 uur weer thuis. Prima leven, niets aan de hand.

Iedere dag om 8:15 uur, als jij al een tijdje onderweg bent naar je werk, komt diezelfde inbreker van vorig jaar je huis binnen. Hij komt netjes door de voordeur met de sleutel die hij heeft laten namaken (van de reservesleutels, die jij altijd in je de kluis bewaart). Hij kijkt op jouw splinternieuwe TV op jouw abonement op eredivisie live. Daarnaast gaat hij naar jouw WC, om vervolgens een uur in jouw badkamer te douchen. Daarna ruimt hij alles netjes op, doet de TV uit en verlaat om 17:30 uur jouw huis. Overigens heeft hij zijn vrienden ook een sleutel gegeven.

OpenSSL Heartbleed bug

En jij?

Jij hebt al minstens een jaar niets door, al kon je die hoge rekening van FOX-sport van vorige maand niet goed plaatsen.

Probeer je bovenstaande eens voor te stellen in jouw straat, jouw stad, jouw land en vervolgens de hele wereld. Dit is is een Security probleem anno 2014! Een gehacked systeem is vervelend, maar  veel vervelender is het als je niet weet dat je een hacker in je systeem hebt.

Van veilig voelen, naar veilig zijn.

Weten of uw organisatie nog kwetsbaar is? Doe de eenvoudige Heartbleed test voor uw server. Wilt u veilig zijn e-mail uw vraag dan naar Rogier van Agt of bel hem via: +31886606600

wc-papier

Nu al het laatste velletje? Ik ben de laatste tijd wel erg snel door mijn wc-papier heen!