heartbleed-veiligEr is een ernstig lek geconstateerd in de veelgebruikte versleutelingssoftware OpenSSL. Het lek, Heartbleed genaamd, stelt kwaadwillenden in staat om informatie te lezen die beschermd wordt door SSL/TLS. XS4ALL heeft direct na bekendmaking van het lek een uitgebreide controle gedaan en enkele van onze diensten voorzien van de benodigde security-updates. Ook zijn onze Fritzbox-modems onderzocht, we hebben geconstateerd dat deze niet kwetsbaar zijn.

SSL/TLS wordt gebruikt voor de privacy en security van heel veel internetdiensten, zoals e-mail, instant messaging en het inloggen op websites. Door het lek dat nu bekend is, is het mogelijk communicatie die door SSL/TLS beschermd wordt toch te lezen. Daardoor kunnen bijvoorbeeld loginnamen en wachtwoorden worden onderschept.

Uit ons onderzoek blijkt dat geen van de door XS4ALL aangeboden diensten waarbij u uw wachtwoord moet invoeren, zijn geraakt door deze kwetsbaarheid. Het is voor de diensten van XS4ALL dus niet nodig uw wachtwoord te wijzigen. Maar omdat OpenSSL over het hele internet zeer veel gebruikt wordt, kan het zijn dat andere wachtwoorden die u op internet gebruikt, in handen van derden zijn geraakt. We raden u daarom aan bij de aanbieders van andere internetdiensten te controleren hoe zij omgaan met dit lek, en waar nodig uw wachtwoord aan te passen.

Wanneer u een nieuw wachtwoord aanmaakt, is het belangrijk dat u elk wachtwoord maar voor één account gebruikt, dus nooit hetzelfde wachtwoord voor verschillende accounts gebruiken. Hoe u een goed wachtwoord kiest, leest u hier.

Meer informatie over heartbleed vindt u op heartbleed.com (In het Engels)
Meer informatie over het Fritzbox-modem en heartbleed is hier beschikbaar (In het Engels)

Ronald Renes
Technisch directeur XS4ALL

Deel dit:

Reacties

  1. Roensel says:

    Enkele ontwikkelaars zijn een fork aan het maken, LibreSSL, die zwakheden oplost, overbodige functionaliteit en complexiteit stript en gewoon doet waar het om gaat, en- en decrypten. De fork wordt ontwikkeld door de devvers van OpenBSD. Nu maar hopen dat, als het stabiel is, er snelle mainstream implementatie plaatsvindt.

    De website heeft nu nog niet veel te bieden, omdat ze meer prioriteit geven aan het forken [en logisch!]. Maar alsnog de URL: http://www.libressl.org/

  2. Hans says:

    Hogere beveiligingskunde… Als je een gewone klant van XS4ALL bent, dan mag je toch verwachten dat de diensten waarvoor je betaalt, betrouwbaar worden uitgevoerd? Als er dan toch iets mis gaat, dan mag je redelijkerwijs verwachten dat er snel en adekwaat gereageerd wordt. Ik heb de indruk dat dit nu het geval is.

  3. Zinvol artikel en goed dat er extra op gewezen wordt. Veel SSL VPN oplossingen zijn kwetsbaar gebleken voor deze vulnerability in openssl. Zie onderstaande link voor extra info over patches van verschillende systemen (voor zover dat nog niet gedaan is).

    http://www.wesecure.nl/nieuws-events/openssl-probleem-oplossingen/162

  4. Jacob says:

    De resultaten hierboven zijn erg slecht.
    Het zou mij een goed gevoel geven als jullie echt alles zouden bijwerken.
    Ook is het niet prettig dat we er maar op moeten vertrouwen dat de SSL-sleutel van jullie 2 jaar oude certificaat niet is buitgemaakt.

  5. Pieter says:

    Hoe staat het met de Copperjet modems?

  6. Bart says:

    Ook SLL-config voor webmail moet beter. Geen TLS1.1 en 1.2. Kom op XS4ALL… Ik verwacht van jullie dat jullie op dit vlak ‘het beste jongetje van de klas’ zijn en gewoon een A-grade scoren!!!

    Zie: https://www.ssllabs.com/ssltest/analyze.html?d=webmail.xs4all.nl

  7. Roensel says:

    Fritz!Box en andere producten binnen de Fritz lijn gebruiken OpenSSL 0.9.8. Dat zegt AVM, maar zelf nog even gecontroleerd en klopt als een bus.

    Goed om te horen dat jullie gelijk actie hebben ondernomen. Dank daarvoor ook. Heb zelf 26 servers gefixt, die verdomde dinsdag. Zouden jullie -alsjeblieft- nog wel de SSL config van VOIP Selfcare kunnen verbeteren? Want SSLv2, insecure renegotiation [maakt MitM mogelijk] en totaal geen FS/HSTS is niet echt van deze tijd. Linkje naar Qualys:

    https://www.ssllabs.com/ssltest/analyze.html?d=voip-selfcare.xs4all.nl

    • Pim Joosten says:

      De beveiliging van VoIP Selfcare lijkt een aanfluiting. Naast het slechtst mogelijke cijfer van SSLlabs (ik had dit nog niet getest, maar ben hier wel van geschrokken), gaat ook nog eens de toegang d.m.v. een PIN code, die tegenwoordig met een brute force aanval zo is gekraakt. Besef goed dat het mogelijk is om in de Selfcare een doorschakeling in te stellen, waarmee dus op kosten van de abonnee kan worden gebeld (bijvoorbeeld naar het buitenland) en het is duidelijk dat dit ook een lek is dat in de orde van grootte van het eerder bekend geworden Fritz!Box lek valt. Ook daar was de schade het op kosten van de abonnee kunnen bellen naar nummers in het buitenland.

      Dit is voor mij weer zo’n feit waardoor ik steeds meer zie dat XS4ALL het oude XS4ALL niet meer is. Zelfs op en top beveiliging van de toegang, zoals ik dat van XS4ALL tegen een premium prijs verwacht, is niet (meer) zeker. Eerlijk gezegd is een dergelijke onvoldoende een schande voor XS4ALL. Dit had en moest al lang gefixt zijn!

      • Roensel says:

        Dat klopt. Maar naar verluid -roddels!- gaat de VoIP selfcare vervangen worden door een nieuw systeem. De reden dat dit zo ‘slecht beveiligd’ is, komt door ondersteuning van de -Franse- leverancier die niet bepaald aanwezig is. Ook de GUI is jaren 90 ;-)

        Maar geloof mij, ik heb het volledige vertrouwen dat ALS selfcare gehackt wordt, de kosten uiteraard niet op de klant worden verhaalt. Dat is natuurlijk ook een stukje service, waar je voor betaald.

      • SB says:

        Doorschakelen naar buitenlandse nummers en 0900 nummer is al enige jaren bij XS4ALL niet mogelijk. Wil je het toch, dan kan dit maar uiteraard geheel op eigen risico.