We houden niet zo van paniek zaaien. Kettingmailtjes met als onderwerp ‘stuur deze mail door naar 10 mensen, anders zetten ze het internet uit’ laten we doorgaans links liggen en aan mediahypes over alles vernietigende virussen doen we over het algemeen niet mee. Maar Heartbleed is anders. Zelfs dé beveiligingsgoeroe van internet Bruce Schneier, doorgaans vrij kalm wat dit soort dingen betreft, was er vrij duidelijk over: “‘Catastrophic’ is the right word. On the scale of 1 to 10, this is an 11”. Ouch.
Wat was er aan de hand?
Door een foutje in de encryptie konden handige jongens heel eenvoudig wat informatie van een beveiligde server afplukken. En die informatie kon van alles zijn. Wie er op dat moment online was, wat diegene aan het doen was maar ook welk wachtwoord op dat moment werd ingevoerd. Die handige jongens konden dat vervolgens nog een keer doen. En nog een keer. En niemand die dat merkte. Als handige jongen kon je op deze manier al twee jaar lang aardig wat privé-informatie bij elkaar scharrelen. En dat kon op miljoenen en miljoenen sites. Alle reden voor paniek dus.
>> LEZEN: Internet in brand door bug in beveiligingssoftware
>> KIJKEN: Webcomic XKCD legt uit hoe Heartbleed werkt, zodat een kleuter het zelfs begrijpt
Wat kon je er tegen doen als argeloze internetgebruiker? Helemaal niets. De ramen dicht timmeren en tijdelijk bonen uit blik eten tot de systeembeheerders wereldwijd hun websites gepatched hadden. En inmiddels mag je ervan uitgaan dat dat grotendeels gebeurd is. Nu is het dus tijd om als gebruiker in actie te komen. Concreet betekent dat: trek er een middag voor uit en ga als een malle nieuwe wachtwoorden aanvragen voor je accounts. Gelukkig zijn er wat handige sites om je op weg te helpen.
Neem een wachtwoordmanager:
Gebruik je dit nog niet, dan is nu hét moment om er eentje te gaan gebruiken. Programma’s als 1Password en Lastpass maken je online leven veiliger en gemakkelijker. Geen enkele reden om het niet te doen dus. Ik gebruik zelf Lastpass en dat bevalt uitstekend. Je hoeft nog maar één superveilig hoofdwachtwoord te onthouden, en je wordt vanzelf ingelogd als je een bekende site tegenkomt. Voorbij zijn de dagen dat je elke keer hetzelfde wachtwoord gebruikte voor elke site. Sowieso een doodzonde.
>> 1Password
>> Lastpass
Verander je wachtwoorden:
Ga ervan uit dat bij sites die getroffen zijn door Heartbleed iemand heeft zitten meelezen toen jij inlogde. Als het lek gedicht is, heb je dus een nieuw wachtwoord nodig om diegene buiten te sluiten. Maar niet elke site was kwetsbaar, dus niet elk wachtwoord hoeft vernieuwd te worden. Check even welke diensten je gebruikt, of ze getroffen waren en of ze inmiddels weer veilig zijn op deze lijst.
Via Lastpass kun je zelf sites checken. Als je een Lastpass account hebt, laat hij via een security check precies zien welke wachtwoorden vernieuwd moeten worden na Heartbleed.
Hoe zit het met je smartphone/tablet?
iOS en Windows Phone zijn veilig, volgens Apple en Microsoft. Maar heb je een Android-apparaat? Dan ben je misschien wel ’t bokkie. Miljoenen toestellen en flink wat apps maken gebruik van OpenSSL en zijn dus kwetsbaar. Gelukkig is dat eenvoudig te checken via speciale Security Scanners die in de Google Play Store staan. Zowel Lookout Mobile Security als Bluebox hebben daar gratis apps voor beschikbaar, die laatste checkt ook afzonderlijke apps op kwetsbaarheden. Wat je moet doen als er een ‘vulnerability’ is gevonden? Een schietgebedje, hopen dat er snel updates komen en daarna je wachtwoorden voor die diensten vervangen.
>> Download: Heartbeeld Security Scanner van Lookout
>> Download: Heartbleed Security Scanner van Bluebox
Het is een even een rotklusje, maar je moet maar zo denken: als je weet dat het halve dorp ineens jouw sleutelbos op zak heeft, vind je het ook niet erg om even een nieuw slot op de deur te zetten.