Internet werd gister opgeschrikt door een bug in Openssl, een open source implementatie van SSL. SSL wordt gebruikt om internetverkeer zoals wachtwoorden en websites mee te beveiligen. De zogenaamde heartbleed bug bestaat al sinds 2011 en het brede gebruik van openSSL maakt dit een enorm beveiligingslek. Voor zover bekend zijn er geen bitcoin-sites gehackt maar Bitstamp en localbitcoins gingen gisteren in ieder geval tijdelijk offline om de bug te verhelpen.
Waarom de bug nu opeens zo midden in de aandacht is komen te staan is mij niet helemaal bekend meer ook omdat tot nu toe geen grote bitcoin sites slachtoffer geworden zijn van de bug. Misschien heeft het wel te maken met het feit dat security expert Filippo Valsorda een tool heeft gemaakt waarmee iedereen simpel kan kijken of een website vatbaar is voor de bug. Hieruit bleek eerder dat grote sites zoals Coinbase en Bitpay veilig waren maar bijvoorbeeld Bitstamp zijn zaakjes nog niet op orde had. het Nederlandse Bitonic gaf ook aan niet vatbaar te zijn voor de bug.
De zogenaamde heartbleed bug maakt het mogelijk voor hackers om in te dringen in het werkgeheugen van een server en daar per keer kleine stukjes data te benaderen. Op deze manier is het voor een hacker potentieel mogelijk om achter de digitale sleutels te komen die door de website gebruikt wordt om zijn data mee te versleutelen. Eenmaal in het bezit van een sleutel zouden deze gebruikt kunnen worden door een aanvaller om al het verkeer van en naar de site te lezen en zich voor te doen als gebruikers of diensten. Het grootste probleem van de bug is dat een eventuele aanval geen sporen achterlaat zodat niet gedetecteerd kan worden of systemen gecompromitteerd zijn.
Bitstamp en Localbitcoins zijn inmiddels weer up maar meerdere sites geven aan druk bezig te zijn met de zaak te patchen en upgraden. Er kwam mij ook ter ore dat er een hack is geweest bij BTCjam waar misschien de heartbleed bug gebruikt is. Er komt ook snel een nieuwe versie uit van de officiele bitcoin-core bitcoin client. Voor zover ik nu kan zien hoef je als gemiddelde bitcoin gebruiker geen stappen te nemen. Mijn advies is wel om de komende dagen zo min mogelijk gebruik te maken van online diensten totdat de storm weer een beetje geluwd is.
Gepost door Roland de Goeij
Bedankt voor de informatie.
[quote name=”Guest”]Waarom de bug nu opeens zo midden in de aandacht is komen te staan is mij niet helemaal bekend meer[/quote]
Ik heb het python script afgetrapt en dan zie je waarom je snel moet patchen, certificaten en user/pass liggen op straat. Dit is geen laboratorium lekje of een MiTM aanval zelfs detectie is er “niet” (nu wel met idp of snort rules).
De bug is NIET al vanaf 2011 bekend!
De bug BESTAAT vanaf 2011 in de OpenSSL code, en is vanaf 2012 in officiƫle releases van OpenSSL terecht gekomen (en dus ook in software die echt gebruikt wordt).
De bug is pas sinds kort BEKEND geworden, en is daarna ook snel opgelost. Het is natuurlijk wel mogelijk dat iemand (NSA?) al eerder op de hoogte was, maar dit niet heeft bekend gemaakt.
Ok, goed om te weten, zo houden we elkaar op de hoogte.