Fare Bekreftet Heartbleed virkelig åpner Crypto Keys til hackere
Nyheter fra Cloudflare på fredag indikerer at debatten er over om det nye OpenSSL Heartbleed-sårbarheten kunne utnyttes for å skaffe private krypteringsnøkler fra utsatte servere og nettsteder. Cloudflare bekreftet at tredjeparts uavhengige testing viste at dette faktisk er sant. Private krypteringsnøkler er i fare.
MakeUseOf rapporterte tidligere OpenSSL bug Massive Bug i OpenSSL legger mye av Internett i fare Massiv feil i OpenSSL setter mye av Internett i fare Hvis du er en av de personene som alltid har trodd at åpen kildekryptografi er den sikreste måten å kommunisere på nettet, er du inne for litt overraskelse. Les mer i forrige uke, og angitt på den tiden at krypteringsnøkler var sårbare eller ikke, fordi Adam Langley, en sikkerhetsekspert fra Google, ikke kunne bekrefte at det var tilfelle.
Cloudflare opprinnelig utstedt en “Heartbleed Challenge” På fredag opprettet en nginx-server med den sårbare installasjonen av OpenSSL på plass, og utfordret hacker-fellesskapet til å prøve å skaffe seg serverens private krypteringsnøkkel. Online hackere hoppet for å møte utfordringen, og to personer lyktes fra fredag og flere “suksesser” fulgte. Hvert vellykket forsøk på å trekke ut private krypteringsnøkler gjennom bare Heartbleed sårbarheten, legger til den økende beviskampen om at virkningen av Hearbleed kan være verre enn det som opprinnelig var mistenkt.
Den første innsendingen kom på samme dag utfordringen ble utstedt av en programvareingeniør ved navn Fedor Indutny. Fedor lyktes etter å ha banket serveren med 2,5 millioner forespørsler.
Den andre innsendingen kom fra Ilkka Mattila på Nasjonalt Cyber Security Center i Helsingfors, som bare trengte omtrent hundre tusen forespørsler om å få krypteringsnøklene.
Etter de to første utfordringene ble vinnere annonsert, oppdaterte Cloudflare bloggen sin lørdag med to mer bekreftede vinnere - Rubin Xu, en doktorand ved Cambridge University og Ben Murphy, en sikkerhetsforsker. Begge individer viste at de kunne trekke den private krypteringsnøkkelen fra serveren, og Cloudflare bekreftet at alle individer som lyktes med å overvinne utfordringen, gjorde det ikke å bruke noe mer enn bare Heartbleed-utnytte.
Faren ved en hacker som oppnår krypteringsnøkkelen på en server, er utbredt. Men burde du være bekymret?
Som kristen nylig påpekte, er mange mediekilder hevet opp truselen som utgjør Heartbleed - hva kan du gjøre for å holde seg trygt? Heartbleed - Hva kan du gjøre for å være trygg? Les mer av sårbarheten, så det kan være vanskelig å måle den virkelige faren.
Hva du kan gjøre: Finn ut om de elektroniske tjenestene du bruker er sårbare (Christian forsynte flere ressurser på linken ovenfor). Hvis de er, unngå å bruke den tjenesten til du hører at serverne har blitt patched. Ikke kjør inn for å endre passordene dine, fordi du bare gir mer overførte data for hackere å dekryptere og hente dataene dine. Legg lav, overvåke statusen til serverne, og når de er blitt oppdatert, gå inn og endre dine passord umiddelbart.
Kilde: Ars Technica | Bilde kreditt: Silhouette of a Hacker av GlibStock på Shutterstock
Utforsk mer om: Kryptering, Online Security.