Annons
Nyheter från Cloudflare på fredag visar att debatten är över om den nya OpenSSL Hjärtsatt sårbarhet kan användas för att få privata krypteringsnycklar från sårbara servrar och webbplatser. Cloudflare bekräftade att oberoende tester från tredje part avslöjade att detta i själva verket är sant. Privata krypteringsnycklar riskerar.
MakeUseOf har tidigare rapporterat OpenSSL-fel Massive Bug i OpenSSL sätter mycket av Internet i riskzonenOm du är en av de människor som alltid har trott att öppen källkryptografi är det säkraste sättet att kommunicera på nätet, är du för en överraskning. Läs mer förra veckan, och indikerade vid den tiden att huruvida krypteringsnycklarna var sårbara fortfarande var i fråga, eftersom Adam Langley, en säkerhetsekspert på Google, inte kunde bekräfta att det var den fall.
Cloudflare utfärdade ursprungligen en "Heartbleed Challenge”På fredagen, där man installerade en nginx-server med den sårbara installationen av OpenSSL på plats och utmanade hackersamhället att försöka få serverns privata krypteringsnyckel. Online hackare hoppade för att möta utmaningen, och två individer lyckades från och med fredagen, och flera "framgångar" följde. Varje framgångsrikt försök att extrahera privata krypteringsnycklar genom bara Heartbleed-sårbarheten lägger till den växande mängden bevis för att effekterna av Hearbleed kan vara sämre än ursprungligen misstänkt.
Den första inlämningen kom samma dag som utmaningen utfärdades av en programvaruingenjör med namnet Fedor Indutny. Fedor lyckades efter att ha bankat servern med 2,5 miljoner förfrågningar.
Den andra inlämningen kom från Ilkka Mattila vid National Cyber Security Center i Helsingfors, som bara behövde cirka hundra tusen förfrågningar för att få krypteringsnycklarna.
Efter att de två första utmaningsvinnarna tillkännagavs uppdaterade Cloudflare sin blogg på lördag med två fler bekräftade vinnare - Rubin Xu, en doktorand vid Cambridge University, och Ben Murphy, en säkerhet Forskare. Båda individerna bevisade att de kunde dra den privata krypteringsnyckeln från servern och Cloudflare bekräftade att alla individer som framgångsrikt övervann utmaningen gjorde det genom att använda bara mer än bara Heartbleed utnyttja.
Farorna som en hacker med en krypteringsnyckel på en server är utbredda. Men borde du vara orolig?
Som Christian nyligen påpekade, många media källor hyping upp hotet som utgör Heartbleed - Vad kan du göra för att hålla dig säker? Läs mer av sårbarheten, så det kan vara svårt att mäta den verkliga faran.
Vad du kan göra: Ta reda på om de onlinetjänster du använder är sårbara (Christian tillhandahöll flera resurser på länken ovan). Om de är det, undvik att använda den tjänsten tills du hör att servrarna har lagats. Kör inte in för att ändra dina lösenord, eftersom du bara tillhandahåller mer överförd data för hackare att dekryptera och få dina data. Lägg dig lågt, övervaka servrarnas status, och när de har lappats, gå in och ändra omedelbart dina lösenord.
Källa: Ars Technica | Bildkredit: Silhouette of a Hacker av GlibStock på Shutterstock
Ryan har en kandidatexamen i elektroteknik. Han har arbetat 13 år inom automationsteknik, 5 år inom IT och är nu en applikationsingenjör. Han var tidigare chefredaktör för MakeUseOf och talade vid nationella konferenser om datavisualisering och har varit med på nationell TV och radio.