De afgelopen paar dagen / weken is er flink wat ophef in de IT-wereld. Door een lek in bepaalde versies van encryptie-software OpenSSL, kan belangrijke en gevoelige informatie worden achterhaald van de server. Flexwebhosting hostingservers maken geen gebruik van de specifieke OpenSSL-versies waarin dit lek aanwezig was, uw gegevens zijn dus niet gecompromitteerd. In dit artikel leggen we uit wat deze ‘Heartbleed Bug’ nu eigenlijk is.
Waar gaat het om?
Op servers wordt constant gecommuniceerd. Intern op de server zelf, maar ook naar externe servers en PC’s. U leest nu dit artikel, uw PC heeft dus met onze server gecommuniceerd om deze informatie te downloaden. Een gedeelte van de communicatie verloopt versleuteld, bijvoorbeeld bij het inloggen in betalings-websites. Ook de communicatie tussen onze server en uw PC verloopt versleuteld, te herkennen aan de ‘https://’ in plaats van ‘http://’. Door het lek in OpenSSL, wat die versleuteling verzorgt, was het mogelijk om in het geheugen van de server te kijken. In het geheugen staat deze informatie echter ‘plain-text’ opgeslagen, niet versleuteld dus.
Hoe wordt u getroffen?
Zoals gezegd, maken Flexwebhosting hostingservers geen gebruik van de getroffen versies van OpenSSL. Hierdoor zijn uw gegevens niet achterhaald kunnen worden. Uw wachtwoorden en de gegevens van uw klanten (wanneer u bijvoorbeeld een webshop heeft) zijn niet in gevaar. U hoeft voor onze diensten dan ook geen actie te ondernemen.
Wel wordt er geadviseerd om wachtwoorden bij dienstverleners zoals Google (Gmail), Microsoft (Outlook / Hotmail), Facebook en Twitter aan te passen. Uw inloggegevens daar zijn wellicht niet achterhaald, maar u kunt beter het zekere voor het onzekere nemen.
Beheert u een server?
Indien u zelf een server beheert en u wilt weten of op uw server het lek in OpenSSL misbruikt kan worden, zult u via SSH in moeten loggen. U kunt dan de geïnstalleerde versie van OpenSSL opvragen. Alle versies vanaf 1.0.1 t/m 1.0.1f en 1.0.2-beta zijn kwetsbaar. Een patch is inmiddels uitgebracht, u kunt dus uw OpenSSL versie updaten om het probleem te verhelpen. Maakt u gebruik van SSL certificaten? U dient dan het certificaat te verversen, omdat de sleutel van het certificaat nu bekendkan zijn bij hackers.
Indien u uw server via FXW afneemt, kunt u contact opnemen met onze Helpdesk. Zij kunnen de getroffen problemen voor u oplossen of u adviseren over welke stappen u dient te ondernemen. Onze collega’s zijn bereikbaar via uw klantenpagina op https://cp.flexwebhosting.nl .
Dit artikel is geplaatst op 24 april 2014. Het kost je ongeveer 2 minuten om het te lezen.