Reklame
Nyheder fra Cloudflare på fredag viser, at debatten er slut om, hvorvidt den nye OpenSSL Heartbleed sårbarhed kunne bruges til at hente private krypteringsnøgler fra sårbare servere og hjemmesider. Cloudflare bekræftede, at tredjeparts, uafhængig test afslørede, at dette faktisk er sandt. Private krypteringsnøgler er i fare.
MakeUseOf tidligere rapporteret om OpenSSL-fejl Massiv fejl i OpenSSL lægger meget af Internet i fareHvis du er en af de mennesker, der altid har troet, at open source-kryptografi er den mest sikre måde at kommunikere online på, er du i en overraskelse. Læs mere i sidste uge og angav på det tidspunkt, at om krypteringsnøgler var sårbare stadig var i spørgsmålet, fordi Adam Langley, en Google-sikkerhedsekspert, ikke kunne bekræfte det som værende sag.
Cloudflare udgav oprindeligt en "Heartbleed Challenge”På fredag, opsætning af en nginx-server med den sårbare installation af OpenSSL på plads og udfordrede hacker-samfundet til at prøve at få serverens private krypteringsnøgle. Online-hackere sprang for at imødegå udfordringen, og to personer lykkedes fra fredag, og flere "succeser" fulgte. Hvert vellykket forsøg på at udtrække private krypteringsnøgler gennem kun Heartbleed-sårbarheden tilføjer til det voksende bevismateriale, at virkningen af Hearbleed kunne være værre end oprindeligt mistanke.
Den første indsendelse kom samme dag, som udfordringen blev udstedt af en Software Engineer ved navn Fedor Indutny. Fedor lykkedes efter at have banket serveren med 2,5 millioner anmodninger.
Den anden indsendelse kom fra Ilkka Mattila ved National Cyber Security Center i Helsinki, som kun havde brug for omkring hundrede tusind anmodninger om at få krypteringsnøglerne.
Efter at de første to udfordringsvindere blev annonceret, opdaterede Cloudflare sin blog lørdag med to flere bekræftede vindere - Rubin Xu, en ph.d.-studerende ved Cambridge University, og Ben Murphy, en sikkerhed Forsker. Begge enkeltpersoner beviste, at de var i stand til at trække den private krypteringsnøgle fra serveren, og Cloudflare bekræftede at alle individer, der med succes har overvundet udfordringen, gjorde det ved kun at bruge Heartbleed.
Farerne ved en hacker, der får krypteringsnøglen på en server, er udbredt. Men skulle du være bekymret?
Som Christian for nylig påpegede, mange mediekilder hæfter den trussel, der udgør Heartbleed - Hvad kan du gøre for at være sikker? Læs mere af sårbarheden, så det kan være vanskeligt at måle den reelle fare.
Hvad du kan gøre: Find ud af, om de onlinetjenester, du bruger, er sårbare (Christian leverede flere ressourcer på linket ovenfor). Hvis det er tilfældet, skal du undgå at bruge denne tjeneste, indtil du hører, at serverne er blevet lappet. Du skal ikke løbe ind for at ændre dine adgangskoder, fordi du kun leverer mere transmitterede data til hackere til at dekryptere og få dine data. Læg lavt, overvåg status for serverne, og når de er blevet lappet, skal du gå ind og straks ændre dine adgangskoder.
Kilde: Ars Technica | Billedkredit: Silhuet af en hacker af GlibStock på Shutterstock
Ryan har en BSc-grad i elektroteknik. Han har arbejdet 13 år inden for automatisering, 5 år inden for it, og er nu en applikationsingeniør. En tidligere administrerende redaktør for MakeUseOf, han har talt på nationale konferencer om datavisualisering og har været vist på nationalt tv og radio.
