Het kan zijn dat je er nog helemaal niets van gemerkt hebt, maar het internet staat sinds maandagavond redelijk in brand. De oorzaak? Een enorme bug in OpenSSL. Dan denk je misschien, joh, lekker belangrijk. Nou, dat is het het behoorlijk.
Even alles op een rijtje zetten: OpenSSL is de meest gebruikte versleutelingsmethode in de digitale wereld. Het is open source en zou volgens recent onderzoek op 66 procent van de actieve websites draaien. Denk daarbij aan je favoriete sociale media, de site van je school of werk en wellicht ook wel draadbreuk.nl (niet wegklikken nu!). Daarnaast wordt OpenSSL ook gebruikt voor de versleuteling van e-mailservers, chatboxen, VPN en nog veel meer.
Maandagavond hebben onderzoekers een gigantische bug gevonden in OpenSSL, waardoor het ‘redelijk eenvoudig’ (wat een relatief begrip is) om de sleutel van beveiligd dataverkeer te achterhalen. Daardoor is het mogelijk om de versleutelde informatie te bekijken. Omdat het gaat om zo’n enorme fout in het systeem, is de bug direct omgedoopt tot het toepasselijke Heartbleed Bug. Met bijbehorende site, waar nog veel dieper ingegaan wordt op de technische kant van het verhaal.
This #OpenSSL bug is absolutely amazing.
— Jacob Appelbaum (@ioerror) April 8, 2014
De NSA leest mee
Na de bekendmaking van de bug hebben de makers van OpenSSL direct een update uitgebracht om het lek dicht te timmeren. Mocht je een vriend of vriendin hebben die met dit soort software werkt, dan zul je ‘m ongetwijfeld een dagje niet zien omdat hij of zij met het zweet in de klauwen alle servers aan het updaten is. Dat is goed, maar het kwaad is ook al geschied. Zo slaan de vrienden van de NSA enorme hoeveelheden versleutelde data op en zouden ze op dankzij deze bug al die gegevens ook daadwerkelijk kunnen ontcijferen.
Who needs the NSA when we’ve got OpenSSL. — Matthew Green (@matthew_d_green) April 7, 2014
Wat nu?
De gevolgen voor Jan met de pet (jij en ik dus) zijn nog niet echt duidelijk. Natuurlijk, mocht je weten dat je OpenSSL gebruikt voor bijvoorbeeld je VPN-connectie, check dan eens goed welke versie dat is en of deze ‘gevaarlijk’ is. Heb je de afgelopen jaren een hoop ongein uitgespookt op het duistere deel van het web, dan heb je misschien een probleem. De mannen achter TOR, de tool waarmee je anoniem kunt surfen, hebben een uitgesproken mening, die des te meer toont dat dit geen kattenpis is: “If you need strong anonymity or privacy on the Internet, you might want to stay away from the Internet entirely for the next few days while things settle.”