Als ontwikkelaar en leverancier van closed source software kunnen wij onze klanten direct gerust stellen. Wij maken gebruik van gesloten, meer gegarandeerde SSL versleutelingstechniek die niet tot de OpenSSL standaard behoort. Wij monitoren continu de veiligheid van onze producten en diensten. Het ongekende veiligheidslek dat de naam Heartbleed heeft gekregen is dan ook niet van toepassing op onze software voor het beheren van onder andere websites. Ook de grote hoeveelheid sites die door ons ingesteld zijn met SSL zijn veilig. Uiteraard zien wij het wel als onze taak om iedereen erop te wijzen dat het ingrijpende lek in de versleutelingstechniek OpenSSL, dat in gebruik is bij honderdduizenden websites en online diensten, wel ingrijpende gevolgen voor u als bedrijf of privépersoon kan hebben. 

 

Dit doordat het Heartbleed-lek ongevraagd veel informatie uit het geheugen van de server naar elke partij stuurt die daarom vraagt. U zult begrijpen dat voor zaken als bijvoorbeeld het gebruik van Facebook, Twitter maar ook zakelijke online diensten en apps dit grote gevolgen kan hebben.

Zo bleek afgelopen weekeinde dat op die manier niet alleen wachtwoorden en inlognamen van gebruikers gelekt kunnen worden, maar ook de persoonlijke encryptiesleutels van de sitebeheerder.

Het gevolg kan zijn dat er op deze wijze een stroom van nepsites op gang komt die niet van echt te onderscheiden zijn. Op deze wijze kunnen de zogenaamde Cybercriminelen nog veel meer wachtwoorden achterhalen dan met het gewone Heartbleed-lek. Dit omdat er via nepsites een directe link is tussen u als eindgebruiker en de cybercrimineel.

 

Apple, Microsoft, banken en Snakeware gebruiken geen OpenSSL

 

Direct na het vinden en bekendmaken van Heartbleed werd gesuggereerd dat tweederde van het internet kwetsbaar zou zijn voor het lek in OpenSSL. Echter, veel grote organisaties en partijen die security hoog in het vaandel hebben staan, zoals Apple, Microsoft, de meeste banken en wij als Snakeware dus ook, gebruiken andere technologie.

 

Diensten als Youtube, opslagdiensten als Dropbox, ja in totaal volgens schattingen zo’n 25 procent van alle diensten en apps zijn aan Heartbleed onderhevig. Zelfs hele mobiele platformen zoals Android en hierop gebaseerde-telefoons zouden kwetsbaar zijn evenals beveiligde netwerken (VPN), mailservers en berichtendiensten die gebruik maken van deze open source standaard. Vele partijen moeten servers updaten en nieuwe digitale certificaten aanvragen. Dat kost tijd, maar is voor u niet de oplossing.

 

Wat u moet doen om weer veilig online te opereren

 

Ondanks het feit dat onze software en sites net als die van Apple en Microsoft veilig zijn, is ons dringende advies aan u om voor de volgende sites en diensten uw wachtwoord per direct te wijzigen.

 

Social Media

 

Facebook

Instagram
Google+
SoundHound

 

Websites

 

Google diensten
Youtube
Yahoo

 

Maildiensten

 

Gmail
Yahoomail

 

Doe de online check en zie of sites veilig zijn

 

Benieuwd naar een site? U kunt op de URL hier klikken en ontvang dan direct een rapport. Als je nieuwsgierig bent naar ons, wij maken gebruik van IIS en SSL van closed software leveranciers.  

Wat is OpenSSL

 

OpenSSL is een open bron systeem. Dat betekent dat specialisten code kunnen verbeteren en wijzigingen kunnen toevoegen en dat resultaat wordt gecontroleerd door andere specialisten. Maar de basisfout van een Duitse programmeur die tot ‘Heartbleed’ leidde bleef onopgemerkt. Daarmee rijst automatisch de vraag hoe sterk en veilig een omgeving is die gebouwd is en groeit op de open source gedachte.

 

Misbruik voorkomen

 

Volgens  techsite Arstechnica  waren er in november 2013 al sporen van misbruik van Heartbleed gevonden.  Waarschijnlijk daarvoor al, maar zoals je kunt begrijpen direct na deze eerste publicatie zijn cybercriminelen massaal  op Heartbleed gedoken. Natuurlijk is het aan te raden je wachtwoorden te wijzigen.  Echter pas op, dit heeft  geen zin als de kwetsbare website nog niet is aangepast. Want er dienen eerst door de aanbiedende partij maatregelen te zijn getroffen zoals eerder in dit artikel genoemd te weten: nieuwe veilige certificaten aanschaffen, toepassen en overige cruciale checks met betrekking tot gegevens authenticatie.

 

Two way factor authentication is het veiligst

 

De beste bescherming is inloggen met extra authenticatie, bijvoorbeeld met een sms’je of een extra code. Wie nieuwe wachtwoorden aanmaakt, kan het beste een wachtwoordmanager gebruiken die zelf lukrake en gecompliceerde letter- en cijferreeksen verzint – voor elke site anders. Dat beperkt de schade als  een wachtwoord in verkeerde handen valt.