реклама
Новини от Cloudflare в петък показват, че дебатът приключи по въпроса дали новият OpenSSL Уязвимостта на сърцето може да се използва за получаване на частни ключове за криптиране от уязвими сървъри и уебсайтове. Cloudflare потвърди, че независими тестове от трети страни разкриха, че това всъщност е вярно. Частните ключове за криптиране са изложени на риск.
MakeUseOf отчита преди това Грешка в OpenSSL Масивна грешка в OpenSSL поставя голяма част от интернет на рискАко сте от онези хора, които винаги са вярвали, че криптографията с отворен код е най-сигурният начин за комуникация онлайн, ви предстои малко изненада. Прочетете още миналата седмица и по това време посочи, че независимо дали криптиращите ключове са уязвими или не под въпрос, защото Адам Лангли, експерт по сигурността на Google, не може да потвърди това като това случай.
Първоначално Cloudflare издаде „Предизвикателство със сърце“В петък, като настроих nginx сървър с уязвимата инсталация на OpenSSL и постави предизвикателство към хакерската общност да опита да получи частния ключ за криптиране на сървъра. Онлайн хакери скочиха да посрещнат предизвикателството и двама души успяха в петък и последваха още няколко „успеха“. Всеки успешен опит за извличане на частни ключове за криптиране само чрез уязвимостта на Heartbleed добавя към нарастващия брой доказателства, че въздействието на Hearbleed може да бъде по-лошо, отколкото първоначално заподозрян.
Първото подаване дойде в същия ден, в който бе издадено предизвикателството, от софтуерен инженер на името на Федор Индътни. Федор успя след като изсипа сървъра с 2,5 милиона заявки.
Второто подаване дойде от Илка Матила от Националния център за киберсигурност в Хелзинки, който се нуждаеше само от около сто хиляди заявки, за да получи ключовете за криптиране.
След като бяха обявени първите двама победители в предизвикателството, Cloudflare актуализира блога си в събота с две по-потвърдени победители - Рубин Сю, докторант в университета в Кеймбридж, и Бен Мърфи, охранител Изследовател. И двамата индивиди доказаха, че са успели да изтеглят частния ключ за криптиране от сървъра и Cloudflare потвърди че всички хора, които успешно преодоляха предизвикателството, го направиха, използвайки нищо повече от само експлоатацията на Heartbleed.
Опасностите, причинени от хакер, който получава ключа за криптиране на сървър, е широко разпространен. Но трябва ли да се притеснявате?
Както Кристиан наскоро посочи, много медийните източници засилват заплахата Сърцебиене - какво можете да направите, за да сте в безопасност? Прочетете още от уязвимостта, така че може да бъде трудно да се прецени реалната опасност.
Какво можете да направите: Разберете дали онлайн услугите, които използвате, са уязвими (Christian предостави няколко ресурса на връзката по-горе). Ако има такива, избягвайте използването на тази услуга, докато не чуете, че сървърите са кръпка. Не влизайте в промяна на паролите си, защото предоставяте само повече предадени данни на хакерите да декриптират и получат вашите данни. Поставете ниско, следете състоянието на сървърите и когато те са кръпка, влезте и незабавно променете паролите си.
Източник: Ars Technica | Кредит за изображение: Силует на хакер от GlibStock от Shutterstock
Райън има бакалавърска степен по електротехника. Работил е 13 години в автоматизацията, 5 години е в ИТ, а сега е инженер на приложения. Бивш управляващ редактор на MakeUseOf, той говори на национални конференции за визуализация на данни и е участвал в националната телевизия и радио.
