Voor de beveiliging van het internetverkeer tussen websites en bezoekers maken veel sites wereldwijd gebruik van het OpenSSL beveiligingssysteem (SSL=Secure Sockets Layer, een beveiligingsprotocol). Dat systeem blijkt – overigens, wegens een menselijke fout – een lek te bevatten. Met alle gevolgen vandien voor de sites die het protocol toepassen.
Wat is het gevolg van het lek?
Het is onduidelijk of en zo ja in welke mate er misbruik is gemaakt van het lek. Sinds de bekendmaking verschijnen er her en der berichten van sites waar wel degelijk gegevens zijn ontvreemd. Het lek maakt het namelijk voor kwaadwillenden mogelijk om wachtwoorden, rekeningnummers en andere gevoelige data te bemachtigen.
Er is inmiddels een patch (oplossing) voor het lek en overal in de wereld hebben webmasters die patch al toegepast, zijn er mee bezig of voeren een upgrade uit. Het vervelende is echter dat er geen volledig overzicht bestaat van alle getroffen sites.
Wat kunt u er aan doen?
Met behulp van een simpele check van uw domeinnaam kunt u controleren of ook uw website (nog steeds) kwetsbaar voor ‘Heartbleed’ is. Die check kunt u uitvoeren op een community webpagina (SSLlabs) van Qualys, een Amerikaans bedrijf, gespecialiseerd in IT-beveiliging.
De check onderwerpt de site aan tests in een drietal categorieen: protocol ondersteuning, authenticatie (identiteit) en versleuteling.
Het testresultaat geeft in aflopende volgorde (van A tot F) aan hoe veilig de server is. A is goed, B is minder goed, enzovoort. Een testresultaat lager dan C betekent dat u echt iets aan de beveiliging van uw site moet laten doen.
De testresultaten worden niet gedeeld met Qualys. De test is met de grootst mogelijke zorg door de community samengesteld.
Wat betekent het voor uw persoonlijke internetgebruik?
Omdat er geen volledig overzicht is van getroffen sites, zijn er drie dingen die u kunt doen:
- Add-on voor browsers
Er zijn zowel voor Chrome als Firefox zogenoemde add-on’s (extra programmaatje) beschikbaar, die u waarschuwen wanneer u een site bezoekt die als onveilig moet worden beschouwd. - Wachtwoorden wijzigen
Het kan geen kwaad in de komende dagen de wachtwoorden te wijzigen van een aantal veelgebruikte sites. Daartoe behoren Dropbox, Facebook en Tumblr. Wees alert op mededelingen en nieuwsbrieven van de door u gebruikte sites.Apple heeft laten weten dat het geen gebruik maakt van OpenSSL. Ook voor Evernote, Google en Twitter is het niet nodig om uw wachtwoord te wijzigen.
Voor overige sites is het raadzaam contact op te nemen met de afdeling Support en te informeren of het lek al gedicht is. Het heeft weinig zin een wachtwoord te wijzigen van een website, die nog steeds lek is.
- Beveilig uw smartphone
Zeker wanneer u met uw smartphone online transacties uitvoert, is het aan te raden om er aparte beveiliginssoftware voor aan te schaffen.
Lees ook:
– Ik heb een nepmail geopend en op een link geklikt » (Het stappenplan van Veilig Zakelijk Internetten)
– Zo maakt u een veilig wachtwoord »
