Διαφήμιση
Τα νέα από το Cloudflare την Παρασκευή δείχνουν ότι η συζήτηση έχει τελειώσει σχετικά με το αν το νέο OpenSSL Η ευπάθεια Heartbleed θα μπορούσε να χρησιμοποιηθεί για τη λήψη ιδιωτικών κλειδιών κρυπτογράφησης από ευάλωτους διακομιστές και ιστοσελίδες. Η Cloudflare επιβεβαίωσε ότι ανεξάρτητες δοκιμές τρίτων μερών αποκάλυψαν ότι αυτό είναι αλήθεια. Τα ιδιωτικά κλειδιά κρυπτογράφησης κινδυνεύουν.
Το MakeUseOf ανέφερε προηγουμένως το Σφάλμα OpenSSL Το Massive Bug στο OpenSSL θέτει μεγάλο μέρος του Διαδικτύου σε κίνδυνοΕάν είστε ένας από αυτούς τους ανθρώπους που πάντα πίστευαν ότι η κρυπτογραφία ανοιχτού κώδικα είναι ο ασφαλέστερος τρόπος για να επικοινωνείτε στο διαδίκτυο, έχετε μια έκπληξη. Διαβάστε περισσότερα την περασμένη εβδομάδα, και έδειχνε εκείνη τη στιγμή ότι ήταν ευπαθή ή όχι τα κλειδιά κρυπτογράφησης εν λόγω, επειδή ο Adam Langley, ειδικός ασφαλείας της Google, δεν μπόρεσε να το επιβεβαιώσει ως αυτό υπόθεση.
Το Cloudflare εξέδωσε αρχικά ένα «Heartbleed πρόκληση"Την Παρασκευή, εγκαθιστώντας έναν διακομιστή nginx με την ευπαθή εγκατάσταση του OpenSSL στη θέση του και προκάλεσε την κοινότητα των hacker να προσπαθήσει να αποκτήσει το ιδιωτικό κλειδί κρυπτογράφησης του διακομιστή. Οι διαδικτυακοί χάκερ πήδηξαν για να ανταποκριθούν στην πρόκληση, και δύο άτομα πέτυχαν την Παρασκευή, και ακολούθησαν πολλές ακόμη «επιτυχίες». Κάθε επιτυχημένη προσπάθεια εξαγωγής ιδιωτικών κλειδιών κρυπτογράφησης μέσω μόνο της ευπάθειας Heartbleed προσθέτει στο αυξανόμενο σύνολο αποδεικτικών στοιχείων ότι ο αντίκτυπος του Hearbleed θα μπορούσε να είναι χειρότερος από ότι αρχικά ύποπτος.
Η πρώτη υποβολή ήρθε την ίδια ημέρα που εκδόθηκε η πρόκληση, από έναν Μηχανικό Λογισμικού με το όνομα Fedor Indutny. Ο Fedor πέτυχε αφού χτύπησε τον διακομιστή με 2,5 εκατομμύρια αιτήματα.
Η δεύτερη υποβολή προήλθε από την Ilkka Mattila στο Εθνικό Κέντρο Ασφάλειας στον κυβερνοχώρο στο Ελσίνκι, ο οποίος χρειαζόταν μόνο εκατό χιλιάδες αιτήματα για να λάβει τα κλειδιά κρυπτογράφησης.
Μετά την ανακοίνωση των δύο πρώτων νικητών πρόκλησης, το Cloudflare ενημέρωσε το ιστολόγιό του το Σάββατο με δύο περισσότεροι επιβεβαιωμένοι νικητές - Rubin Xu, διδακτορικός φοιτητής στο Πανεπιστήμιο του Cambridge και Ben Murphy, Ασφάλεια Ερευνητής. Και τα δύο άτομα απέδειξαν ότι μπόρεσαν να τραβήξουν το ιδιωτικό κλειδί κρυπτογράφησης από τον διακομιστή και επιβεβαίωσε το Cloudflare ότι όλα τα άτομα που ξεπέρασαν με επιτυχία την πρόκληση το έκαναν χρησιμοποιώντας τίποτα περισσότερο από μόνο το Heartbleed exploit.
Οι κίνδυνοι που δημιουργεί ένας χάκερ από την απόκτηση του κλειδιού κρυπτογράφησης σε έναν διακομιστή είναι ευρέως διαδεδομένοι. Αλλά πρέπει να ανησυχείτε;
Όπως επεσήμανε πρόσφατα ο Christian, πολλοί Οι πηγές των μέσων ενημέρωσης υπονομεύουν την απειλή που θέτει Heartbleed - Τι μπορείτε να κάνετε για να παραμείνετε ασφαλείς; Διαβάστε περισσότερα από την ευπάθεια, οπότε μπορεί να είναι δύσκολο να μετρηθεί ο πραγματικός κίνδυνος.
Τι μπορείτε να κάνετε: Μάθετε αν οι διαδικτυακές υπηρεσίες που χρησιμοποιείτε είναι ευάλωτες (η Christian παρείχε αρκετούς πόρους στον παραπάνω σύνδεσμο). Εάν είναι, αποφύγετε τη χρήση αυτής της υπηρεσίας έως ότου ακούσετε ότι οι διακομιστές έχουν διορθωθεί. Μην τρέχετε για να αλλάξετε τους κωδικούς πρόσβασής σας, επειδή παρέχετε μόνο περισσότερα δεδομένα που μεταδίδονται στους χάκερ για την αποκρυπτογράφηση και τη λήψη των δεδομένων σας. Χαμηλώστε, παρακολουθήστε την κατάσταση των διακομιστών και όταν έχουν διορθωθεί, μπείτε και αλλάξτε αμέσως τους κωδικούς πρόσβασής σας.
Πηγή: Ars Technica | Πιστωτική εικόνα: Σιλουέτα ενός χάκερ από το GlibStock στο Shutterstock
Ο Ryan έχει πτυχίο Ηλεκτρολόγου Μηχανικού. Εργάστηκε 13 χρόνια στη μηχανική αυτοματισμού, 5 χρόνια στην πληροφορική και τώρα είναι Μηχανικός εφαρμογών. Πρώην διευθύνων σύμβουλος του MakeUseOf, μίλησε σε εθνικά συνέδρια για την οπτικοποίηση δεδομένων και έχει εμφανιστεί στην εθνική τηλεόραση και ραδιόφωνο.