Mark Lucas
0 
3307
794
Wiadomości z Cloudflare w piątek wskazują, że debata dobiegła końca, czy nowa luka OpenSSL Heartbleed może zostać wykorzystana do uzyskania prywatnych kluczy szyfrowania z podatnych serwerów i stron internetowych. Cloudflare potwierdziło, że niezależne testy innych firm ujawniły, że to prawda. Zagrożone są prywatne klucze szyfrujące.
MakeUseOf wcześniej zgłaszał błąd OpenSSL Ogromny błąd w OpenSSL naraża dużą część Internetu na ryzyko Ogromny błąd w OpenSSL naraża wiele Internetu jest zagrożony Jeśli jesteś jedną z osób, które zawsze uważały, że kryptografia open source jest najbezpieczniejszym sposobem komunikacji w sieci czeka Cię niespodzianka. w zeszłym tygodniu i wskazał w tym czasie, że kwestia, czy klucze szyfrujące są podatne na atak, jest nadal wątpliwa, ponieważ Adam Langley, ekspert Google ds. bezpieczeństwa, nie mógł potwierdzić, że tak jest.
Cloudflare pierwotnie wydał “Wyzwanie Heartbleed” w piątek, konfiguracja serwera nginx z zainstalowaną podatną na ataki instalacją OpenSSL, i wezwała społeczność hakerów do próby uzyskania prywatnego klucza szyfrowania serwera. Hakerzy internetowi podeszli do wyzwania, a dwie osoby odniosły sukces w piątek i kilka innych “sukcesy” śledził. Każda udana próba wyodrębnienia prywatnych kluczy szyfrowania tylko poprzez lukę Heartbleed stanowi uzupełnienie rosnącej liczby dowodów na to, że wpływ Hearbleed może być gorszy niż pierwotnie podejrzewano.
Pierwsze zgłoszenie nastąpiło w tym samym dniu, w którym zostało wydane wyzwanie, przez inżyniera oprogramowania o nazwisku Fedor Indutny. Fedorowi udało się po uderzeniu w serwer 2,5 milionami żądań.
Drugie zgłoszenie pochodziło od Ilkki Mattili z Narodowego Centrum Bezpieczeństwa Cybernetycznego w Helsinkach, który potrzebował jedynie około stu tysięcy wniosków o uzyskanie kluczy szyfrowania.
Po ogłoszeniu pierwszych dwóch zwycięzców wyzwania, Cloudflare zaktualizowało swojego bloga w sobotę o dwóch kolejnych potwierdzonych zwycięzców - Rubin Xu, doktorant na Uniwersytecie Cambridge oraz Ben Murphy, specjalista ds. Bezpieczeństwa. Obie osoby udowodniły, że były w stanie wyciągnąć prywatny klucz szyfrujący z serwera, a Cloudflare potwierdził, że wszystkie osoby, które pomyślnie pokonały wyzwanie, zrobiły to, wykorzystując jedynie exploit Heartbleed.
Zagrożenia ze strony hakera uzyskującego klucz szyfrujący na serwerze są szeroko rozpowszechnione. Ale powinieneś się martwić?
Jak niedawno zauważył Christian, wiele źródeł medialnych podważa zagrożenie, jakie stanowi Heartbleed - co można zrobić, aby zachować bezpieczeństwo? Heartbleed - Co możesz zrobić, aby zachować bezpieczeństwo? ze względu na podatność, więc trudno jest zmierzyć rzeczywiste niebezpieczeństwo.
Co możesz zrobić: Dowiedz się, czy usługi online, z których korzystasz, są zagrożone (Christian podał kilka zasobów pod linkiem powyżej). Jeśli tak, unikaj korzystania z tej usługi, dopóki nie usłyszysz, że serwery zostały załatane. Nie uruchamiaj się, aby zmienić swoje hasło, ponieważ udostępniasz tylko więcej przesyłanych danych, aby hakerzy mogli je odszyfrować i uzyskać. Połóż się nisko, monitoruj stan serwerów, a kiedy zostaną załatane, wejdź i natychmiast zmień swoje hasła.
Źródło: Ars Technica | Zdjęcie dzięki uprzejmości: Silhouette of the Hacker autorstwa GlibStock w Shutterstock