Nieuws
image

Nederlander ontdekt gat in Heartbleed-beveiliging Akamai

maandag 14 april 2014, 14:50 door Redactie, 5 reacties

Een oplossing waarvan internetgigant Akamai dacht dat het misbruik van de Heartbleed-bug voorkwam bleek toch niet te werken, zo ontdekte de Nederlander Willem Pinckaers. Via de Heartbleed-bug in OpenSSL kan een aanvaller onder andere SSL-sleutels bemachtigen.

Ook Akamai had met dit probleem te maken, maar gebruikte naar eigen zeggen al geruime tijd een zelf ontwikkeld "custom secure allocation scheme" dat misbruik van het lek zou moeten voorkomen.

Toch kwetsbaar

De aankondiging van Akamai werd positief op internet ontvangen, maar Pinckaers ontdekte dat de oplossing van de internetgigant niet werkte en niet veilig was. Daardoor kon een aanvaller ook bij Akamai de SSL-sleutels van klanten compromitteren. Akamai heeft de door Pinckaers ontdekte problemen bevestigd.

Vanwege het probleem heeft Akamai nu besloten om van alle klanten het SSL-certificaat proactief te vervangen. Daarnaast zegt de internetgigant de andere claims van Pinckaers te onderzoeken om te zien hoe het de beveiliging verder kan aanscherpen.

Willem Pinckaers is onafhankelijk beveiligingsonderzoeker en tevens consultant bij Certified Secure.

Reacties (5)
14-04-2014, 16:43 door johanw
In de cryptografie is elke custom-oplossing dubbel verdacht omdat die meestal door iemand geschreven wordt die geen ervaring heeft met met beveiligingen.
14-04-2014, 18:12 door Eric-Jan H te D
Een patch is een pleister. En pleisters laten los.
Uitsnijden en hechten is de enige oplossing.
14-04-2014, 20:25 door 12345dan
Door Eric-Jan H te A: Een patch is een pleister. En pleisters laten los.
Uitsnijden en hechten is de enige oplossing.
Klopt, maar patches houden het wel lang vol hoor, Windows XP is er een voorbeeld van :P . Maar inderdaad echte definitieve updates werken vele malen beter.
15-04-2014, 04:34 door Anoniem
Door johanw: In de cryptografie is elke custom-oplossing dubbel verdacht omdat die meestal door iemand geschreven wordt die geen ervaring heeft met met beveiligingen.

Ja, maar ook: in cryptografie is iedereen verdacht omdat die mensen iets te vaak security gelijkstellen aan cryptografie.
15-04-2014, 11:13 door Pastafarist - Bijgewerkt: 15-04-2014, 11:14
Nouja, zoals Akamai zelf al aangaf ( http://thread.gmane.org/gmane.comp.encryption.openssl.user/51243 ) :


"This should really be considered more of a proof of concept than something that you want to put directly into production." .....
"Let me restate that: *do not just take this patch and put it into production without careful review.*"

Beetje storm in een glas water dus.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.

Zoeken
search
Certified Secure