Door de hype graven Heeft Heartbleed eigenlijk iedereen geschaad?
Het Heartbleed-insect Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Read More is het onderwerp geweest van veel handwringen en wordt een van de meest ernstige inbreuken op de computerbeveiliging aller tijden genoemd. Massive Bug in OpenSSL zet veel van internet in gevaar Massale bug in OpenSSL zet veel van internet in gevaar Als je een van die mensen die altijd hebben geloofd dat open source cryptografie de veiligste manier is om online te communiceren, je bent een beetje een verrassing. Lees verder . Maar sommige mensen zijn er niet van overtuigd - wie heeft Heartbleed immers echt schade berokkend? Welnu, er zijn verschillende gemelde aanvallen geweest waarbij Heartbleed werd gebruikt om echte schade aan te richten. Als je denkt dat Heartbleed allemaal een hype is, denk dan nog eens goed na.
900 SIN's gestolen door de Canadian Revenue Agency
In Canada gebruikte een aanvaller de Heartbleed-bug tegen de Canadian Revenue Agency, waarbij ongeveer 900 sociale verzekeringsnummers (SIN's) werden vastgelegd die toebehoren aan mensen die hun inkomstenbelastingen indienden. Dit is in feite het Canadese equivalent van een aanvaller die sofinummers (SSN's) van de IRS in de VS vastlegt. Sommige gegevens met betrekking tot Canadese bedrijven zijn ook gestolen.
De aanvaller werd gearresteerd voor het vastleggen van deze cijfers, maar we weten niet of de aanvaller de SIN's heeft verkocht of heeft doorgegeven aan iemand anders. Net als socialezekerheidsnummers in de VS zijn deze cijfers over het algemeen niet veranderlijk - ze kunnen alleen worden gewijzigd als u bewijst dat u het slachtoffer bent geworden van fraude. Betrokken belastingplichtigen moeten zich abonneren op een kredietmonitoringservice en bijhouden wie er proberen bankrekeningen en creditcards op hun naam te openen. Identiteitsdiefstal 6 Waarschuwingssignalen van digitale identiteitsdiefstal die u niet mag negeren 6 Waarschuwingssignalen van digitale identiteitsdiefstal die u niet mag negeren Identiteitsdiefstal is tegenwoordig niet al te zeldzaam, maar we komen vaak in de val te denken dat het zal altijd gebeuren met "iemand anders". Negeer de waarschuwingssignalen niet. Lees meer is een ernstige zorg hier.
Mumsnet en andere wachtwoorddiefstallen
Mumsnet heeft onlangs aangekondigd dat het alle gebruikers dwingt hun wachtwoord te wijzigen. Dit was niet alleen een preventieve maatregel - Mumsnet had reden om te geloven dat aanvallers toegang hadden gekregen tot de wachtwoorden en privéberichten van maximaal 1,5 miljoen gebruikers.
Dit is waarschijnlijk niet de enige website waarop gevoelige wachtwoorden zijn gestolen. Als mensen de grote fout maken om hetzelfde wachtwoord opnieuw te gebruiken op meerdere websites, kan een aanvaller andere accounts openen. Als iemand bijvoorbeeld hetzelfde wachtwoord gebruikt voor zowel zijn Mumsnet-account als het e-mailaccount dat gekoppeld is aan zijn Mumsnet-account, kan de aanvaller toegang krijgen tot dat e-mailaccount. Vanaf daar kan de aanvaller andere wachtwoorden resetten en naar andere accounts gaan
Als u een e-mail hebt ontvangen van een service die u adviseert uw wachtwoord te wijzigen en ervoor te zorgen dat u niet hetzelfde wachtwoord elders gebruikt, is het mogelijk dat de service zijn wachtwoorden heeft gestolen of zijn de wachtwoorden gestolen en is het niet zeker.
VPN-kapingen en diefstal van privésleutels
Beveiligingsbedrijf Mandiant meldde dat aanvallers Heartbleed gebruikten om een intern bedrijfs-VPN of virtueel privaat netwerk te doorbreken dat toebehoorde aan een van hun klanten. De VPN gebruikte multifactor-authenticatie Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Wat is twee-factorenauthenticatie, en waarom u het zou moeten gebruiken Twee-factor-authenticatie (2FA) is een beveiligingsmethode die twee verschillende manieren om te bewijzen vereist jouw identiteit. Het wordt vaak gebruikt in het dagelijks leven. Bijvoorbeeld betalen met een creditcard vereist niet alleen de kaart, ... Lees meer, maar dat deed er niet toe - de aanvaller kon privé-coderingssleutels stelen van een VPN-apparaat met de Heartbleed-aanval en kon vervolgens VPN activeren sessies.
We weten niet welk bedrijf hier werd aangevallen - Mandiant heeft zojuist aangekondigd dat het een “grote onderneming.” Aanvallen zoals deze kunnen worden gebruikt om gevoelige bedrijfsgegevens te stelen of interne bedrijfsnetwerken te infecteren. Als bedrijven niet garanderen dat hun netwerken niet kwetsbaar zijn voor Heartbleed, kan hun beveiliging gemakkelijk worden omzeild.
De enige reden dat we dit horen, is omdat Mandiant mensen wil aanmoedigen om hun VPN-servers te beveiligen. We weten niet welk bedrijf hier werd aangevallen omdat bedrijven niet willen aankondigen dat ze zijn gecompromitteerd.
Dit is niet het enige bevestigde geval dat Heartbleed wordt gebruikt om een privécoderingssleutel te stelen uit het geheugen van een draaiende server. CloudFlare betwijfelde of Heartbleed kon worden gebruikt om privécoderingssleutels te stelen en gaf een uitdaging - probeer de privéversleutelingssleutel van onze server te krijgen als je kunt. Verschillende mensen hebben binnen één dag de privésleutel ontvangen.
Staat Surveillance agentschappen
Controversieel, de Heartbleed-bug zou ontdekt en geëxploiteerd kunnen zijn door toezichtsdiensten van de staat en inlichtingendiensten voordat deze bekend werd. Bloomberg meldde dat de NSA Heartbleed al minstens twee jaar heeft uitgebuit. De NSA en het Witte Huis hebben dit ontkend, maar de directeur van de nationale inlichtingendienst James Clapper heeft beroemd gezegd dat de NSA geen gegevens over miljoenen Amerikanen verzamelde voordat de bewakingsactiviteiten van de NSA bekend werden, iets waarvan we nu weten dat het niet waar is. Wat is PRISM? Alles wat u moet weten Wat is PRISM? Alles wat u moet weten De National Security Agency in de VS heeft toegang tot alle gegevens die u opslaat bij Amerikaanse serviceproviders zoals Google Microsoft, Yahoo en Facebook. Ze controleren waarschijnlijk ook het grootste deel van het verkeer dat door de ... Meer lezen. We weten ook dat de NSA beveiligingskwetsbaarheden voor gebruik tegen bewakingsdoelen voorradig maakt in plaats van ze te rapporteren, zodat ze kunnen worden verholpen.
De NSA terzijde, er zijn andere staattoezichtbureaus in de wereld. Het is mogelijk dat het staatscontrole-bureau van een ander land deze fout ontdekte en deze gebruikte tegen bewakingsdoelen, mogelijk zelfs in de Verenigde Staten gevestigde bedrijven en overheidsinstanties. We kunnen hier niets zeker weten, maar het is heel goed mogelijk dat Heartbleed is gebruikt voor spionageactiviteiten voordat het openbaar werd onthuld - het zal zeker voor deze doeleinden worden gebruikt nu het publiek bekend is!
We weten het gewoon niet
We weten gewoon niet hoeveel schade Heartbleed tot nu toe heeft aangericht. Bedrijven die dankzij Heartbleed een einde maken aan schendingen, willen vaak voorkomen dat gênante mededelingen worden gedaan die hun bedrijf kunnen schaden of hun aandelenkoersen kunnen schaden. Het is over het algemeen gemakkelijker om intern met het probleem om te gaan, in plaats van de wereld te laten weten.
In veel andere gevallen weten services niet dat ze gebeten zijn door Heartbleed. Dankzij het type verzoek dat de Heartbleed-kwetsbaarheid gebruikt, verschijnen Heartbleed-aanvallen niet in veel serverlogboeken. Het zal nog steeds verschijnen in netwerkverkeerslogboeken als u weet waar u op moet letten, maar niet elke organisatie weet waarnaar moet worden gezocht.
Het is ook mogelijk dat de Heartbleed-bug in het verleden is uitgebuit, voordat deze bekend werd. Het is mogelijk dat cybercriminelen of - naar alle waarschijnlijkheid - overheidstoezichtbureaus de bug hebben ontdekt en deze hebben gebruikt. De voorbeelden hier zijn slechts een momentopname van de weinige dingen die we weten.
De hype is gerechtvaardigd - het is belangrijk dat we services en apparaten zo snel mogelijk up-to-date krijgen om de schade te beperken en in de toekomst slechtere aanvallen te voorkomen.
Image Credit: snoopsmas op Flickr, ChrisDag op Flickr
Ontdek meer over: Online beveiliging, SSL.