Publicitate
Știrile de la Cloudflare de vineri indică faptul că dezbaterea sa încheiat cu privire la noul OpenSSL Vulnerabilitate cu inimă ar putea fi utilizată pentru a obține chei de criptare private de pe serverele vulnerabile și site-uri web. Cloudflare a confirmat faptul că testările independente ale unei terțe părți au relevat că acest lucru este adevărat. Cheile de criptare private sunt în pericol.
MakeUseOf a raportat anterior Bug OpenSSL Bug Massive în OpenSSL pune mare parte din Internet în pericolDacă sunteți unul dintre acei oameni care au crezut întotdeauna că criptografia open source este cea mai sigură modalitate de a comunica online, sunteți într-o surpriză. Citeste mai mult Săptămâna trecută și a indicat la acea dată că dacă sunt vulnerabile sau nu cheile de criptare erau încă în cauză, deoarece Adam Langley, un expert în securitate Google, nu a putut confirma acest lucru caz.
Cloudflare a emis inițial un „Heartbleed Challenge”Vineri, a creat un server nginx cu instalarea vulnerabilă a OpenSSL în loc și a provocat comunitatea de hackeri să încerce să obțină cheia de criptare privată a serverului. Hackerii online au sărit pentru a face față provocării, iar două persoane au reușit începând de vineri și au urmat mai multe „succese”. Fiecare încercare de succes de a extrage cheile de criptare private prin vulnerabilitatea Heartbleed adaugă la creșterea dovezilor că impactul Hearbleed ar putea fi mai grav decât inițial suspectate.
Prima comunicare a venit în aceeași zi în care a fost emisă provocarea, de către un inginer software cu numele Fedor Indutny. Fedor a reușit după ce a aruncat serverul cu 2,5 milioane de solicitări.
Cea de-a doua comunicare a venit de la Ilkka Mattila la Centrul Național de Securitate Cibernetică din Helsinki, care a avut nevoie doar de aproximativ o sută de mii de solicitări pentru a obține cheile de criptare.
După ce primii doi câștigători ai provocării au fost anunțați, Cloudflare și-a actualizat sâmbătă blogul cu doi câștigători mai confirmați - Rubin Xu, doctorand la Universitatea Cambridge, și Ben Murphy, securist Cercetător. Ambele persoane au dovedit că au putut să tragă cheia de criptare privată de pe server și Cloudflare a confirmat că toți indivizii care au depășit cu succes provocarea au făcut acest lucru folosind altceva decât doar exploatarea Heartbleed.
Pericolele prezentate de un hacker care obține cheia de criptare pe un server sunt foarte răspândite. Dar ar trebui să vă faceți griji?
După cum a subliniat recent Christian, mulți Surse media susțin amenințarea pe care o reprezintă Heartbleed - Ce poți face pentru a rămâne în siguranță? Citeste mai mult de vulnerabilitate, astfel încât poate fi dificil de a măsura pericolul real.
Ce puteți face: Aflați dacă serviciile online pe care le utilizați sunt vulnerabile (Christian a oferit mai multe resurse la linkul de mai sus). Dacă există, evitați să utilizați serviciul până când auziți că serverele au fost corecți. Nu vă conectați pentru a vă schimba parolele, deoarece oferiți mai multe date transmise pentru ca hackerii să decripteze și să obțină datele dvs. Stai jos, monitorizează starea serverelor și, atunci când au fost corecți, intrați și schimbați imediat parolele.
Sursă: Ars Technica | Credit imagine: Silueta unui hacker de GlibStock la Shutterstock
Ryan are o diplomă de licență în inginerie electrică. A lucrat 13 ani în domeniul ingineriei automatizării, 5 ani la IT, iar acum este inginer pentru aplicații. Fost redactor manager al MakeUseOf, a vorbit la conferințele naționale despre vizualizarea datelor și a fost prezentat la TV și radio naționale.
