Oglas
Novice iz Cloudflare v petek kažejo, da je razprava o tem, ali je nov OpenSSL Ranljivost po srcu bi lahko uporabili za pridobivanje zasebnih šifrirnih ključev od ranljivih strežnikov in spletne strani. Cloudflare je potrdil, da je neodvisno testiranje s strani tretjih oseb razkrilo, da to v resnici drži. Ogroženi so zasebni šifrirni ključi.
MakeUseOf je o tem že poročal Napaka OpenSSL Masivna napaka v OpenSSL ogroža veliko internetaČe ste eden tistih ljudi, ki ste vedno verjeli, da je kriptografija z odprto kodo najbolj varen način za komunikacijo prek spleta, vas čaka nekoliko presenečenje. Preberi več Prejšnji teden in je takrat navedel, da so šifrirni ključi ranljivi ali ne zato, ker Adam Langley, Googlov strokovnjak za varnost, tega ni mogel potrditi Ovitek.
Cloudflare je prvotno izdal "Heartbleed Challenge"Je v petek z nastavitvijo strežnika nginx z nameščeno ranljivo namestitvijo OpenSSL in izzval hekersko skupnost, da poskusi pridobiti zasebni šifrirni ključ strežnika. Spletni hekerji so skočili na izziv in od petka sta uspela dva posameznika, sledilo je še več "uspehov". Vsak uspešen poskus pridobivanja zasebnih šifrirnih ključev samo z ranljivostjo Heartbleed vedno več dokazov dodaja, da bi bil vpliv Hearbleeda lahko slabši kot sprva osumljen.
Prvo predložitev je prispela še isti dan, ko je izdal izziv, inženir programske opreme po imenu Fedor Indutny. Fedor je uspel, potem ko je strežnik razbil z 2,5 milijona zahtev.
Drugi podatek je prispeval Ilkka Mattila iz Nacionalnega centra za kibernetsko varnost v Helsinkih, ki je za pridobitev šifrirnih ključev potreboval približno sto tisoč zahtevkov.
Po razglasitvi prvih dveh zmagovalcev izzivov je Cloudflare v soboto svoj blog posodobil z dvema bolj potrjena zmagovalca - Rubin Xu, doktorski študent na univerzi Cambridge, in Ben Murphy, varnostnik Raziskovalec. Oba posameznika sta dokazala, da sta lahko s strežnika potegnila zasebni šifrirni ključ, in Cloudflare je potrdil da so vsi posamezniki, ki so uspešno premagali izziv, storili nič drugega kot izkoriščanje Heartbleeda.
Nevarnosti, ki jih predstavlja heker, ki pridobi šifrirni ključ na strežniku, so zelo razširjene. A bi morali biti zaskrbljeni?
Kot je pred kratkim poudaril Christian, mnogi medijski viri povečujejo nevarnost Srčno srce - kaj lahko storite, da ostanete varni? Preberi več zaradi ranljivosti, zato je težko oceniti resnično nevarnost.
Kaj lahko storite: ugotovite, ali so spletne storitve, ki jih uporabljate, ranljive (Christian je na zgornji povezavi priskrbel več virov). Če obstajajo, se izogibajte uporabi te storitve, dokler ne slišite, da so strežniki zakrpani. Ne spreminjajte gesla, saj hekerjem zagotavljate samo več poslanih podatkov, ki jih lahko dešifrirajo in pridobijo svoje podatke. Lepite nizko, spremljajte stanje strežnikov in ko so popravljeni, pojdite in takoj spremenite gesla.
Vir: Ars Technica | Kreditna slika: Silhueta hekerja avtor GlibStock v Shutterstocku
Ryan ima diplomo iz elektrotehnike. 13 let je delal v avtomatizacijskem inženiringu, 5 let v IT, zdaj pa je inženir Apps. Nekdanji glavni urednik MakeUseOf je govoril na nacionalnih konferencah o vizualizaciji podatkov in je bil predstavljen na nacionalni televiziji in radiu.
