Pericolul confirmat Heartbleed chiar nu deschide cheile Crypto pentru hackeri
Știrile de la Cloudflare vineri indică faptul că dezbaterea sa încheiat cu privire la problema dacă noua vulnerabilitate OpenSSL Heartbleed ar putea fi utilizată pentru a obține chei private de criptare de la servere și site-uri vulnerabile. Cloudflare a confirmat faptul că testarea independentă a unor terțe părți a demonstrat că acest lucru este, de fapt, adevărat. Cheile private de criptare sunt în pericol.
MakeUseOf a raportat anterior bug-ul OpenSSL Massive Bug în OpenSSL Pune multă Internet în pericol Bug masiv în OpenSSL pune multă Internet în pericol Dacă sunteți unul dintre acei oameni care întotdeauna credeau că criptografia open source este calea cea mai sigură de a comunica on-line, sunteți în căutarea unui pic de surpriză. Read More săptămâna trecută și a indicat la acel moment că cheia de criptare a fost sau nu vulnerabilă era încă în discuție, deoarece Adam Langley, expert în securitate Google, nu a putut confirma acest lucru.
Cloudflare a emis inițial o “Provocări cu inimă” vineri, stabilind un server nginx cu instalarea vulnerabilă a OpenSSL și a provocat comunitatea hackerilor să încerce să obțină cheia privată de criptare a serverului. Hackerii online s-au apucat să facă față acestei provocări, iar două persoane au reușit vineri, și mai multe “succese” urmat. Fiecare încercare de succes de a extrage chei private de criptare numai prin vulnerabilitatea Heartbleed adaugă la creșterea numărului de dovezi că impactul lui Hearbleed ar putea fi mai rău decât era inițial suspectat.
Prima depunere a venit în ziua în care provocarea a fost emisă de către un inginer de software pe numele lui Fedor Indutny. Fedor a reușit după ce a lovit serverul cu 2,5 milioane de cereri.
Cea de-a doua prezentare a venit de la Ilkka Mattila la Centrul Național de Securitate Cyber la Helsinki, care avea nevoie de aproximativ o sută de mii de cereri pentru a obține cheile de criptare.
După ce au fost anunțați primii doi câștigători de provocări, Cloudflare și-a actualizat blogul sâmbătă cu încă doi câștigători confirmați - Rubin Xu, student la Universitatea Cambridge și Ben Murphy, cercetător în domeniul securității. Ambii indivizi au demonstrat că au reușit să scoată cheia privată de criptare de pe server, iar Cloudflare a confirmat că toți indivizii care au depășit cu succes provocarea nu au făcut decât să folosească nimic mai mult decât exploatația Heartbleed.
Pericolele generate de un hacker care obține cheia de criptare pe un server este larg răspândită. Dar ar trebui să vă îngrijorați?
După cum a subliniat recent creștinul, multe surse de informare media ascund amenințarea pe care o reprezintă Heartbleed - Ce puteți face pentru a rămâne sigură? Heartbleed - Ce puteți face pentru a vă menține în siguranță? Citiți mai mult de vulnerabilitate, astfel încât poate fi dificil să se evalueze pericolul real.
Ce puteți face: aflați dacă serviciile online pe care le utilizați sunt vulnerabile (Christian a furnizat câteva resurse la linkul de mai sus). Dacă sunt, evitați să folosiți acest serviciu până când veți auzi că serverele au fost patch-uri. Nu derulați pentru a vă schimba parolele, deoarece furnizați numai date transmise mai mult pentru hackeri pentru a decripta și a obține datele dvs. Stați jos, monitorizați starea serverelor și, când au fost patch-uri, intrați și schimbați imediat parolele.
Sursa: Ars Technica | Image credit: Silueta unui hacker de către GlibStock la Shutterstock
Explorați mai multe despre: criptare, securitate online.