Mainos
Perjantai Cloudflaren uutiset osoittavat, että keskustelu on päättynyt siitä, onko uusi OpenSSL Sydämen haavoittuvuutta voidaan hyödyntää yksityisten salausavaimien saamiseksi haavoittuvista palvelimista ja sivustot. Cloudflare vahvisti, että kolmannen osapuolen riippumaton testaus paljasti tämän olevan totta. Yksityiset salausavaimet ovat vaarassa.
MakeUseOf ilmoitti aiemmin OpenSSL-virhe Massiivinen vika OpenSSL: ssä vaarantaa suuren osan InternetistäJos olet yksi niistä ihmisistä, jotka ovat aina uskoneet, että avoimen lähdekoodin salaus on turvallisin tapa kommunikoida verkossa, olet hieman yllättynyt. Lue lisää viime viikolla, ja ilmoitti tuolloin, oliko salausavaimet haavoittuvia vai ei kyseessä, koska Googlen tietoturva-asiantuntija Adam Langley ei voinut vahvistaa sitä olevan tapaus.
Cloudflare julkaisi alun perin ”Sydämen haastePerjantaina perustamalla nginx-palvelimen, jossa OpenSSL: n haavoittuva asennus on paikallaan, ja haastanut hakkeriyhteisön yrittämään saada palvelimen yksityinen salausavain. Verkko hakkerit hyppäsivät vastaamaan haasteeseen, ja kaksi henkilöä onnistui perjantaina, ja seurasi useita muita "menestyksiä". Jokainen onnistunut yritys purkaa yksityisiä salausavaimia vain Heartbleed-haavoittuvuuden kautta lisää kasvavaan määrään todisteita siitä, että Hearbleedin vaikutus voi olla huonompi kuin alun perin epäillään.
Ensimmäisen ehdotuksen teki samana päivänä haasteen, jonka teki ohjelmistoinsinööri nimellä Fedor Indutny. Fedor onnistui, kun iskutti palvelinta 2,5 miljoonalla pyynnöllä.
Toinen lähetys tuli Ilkka Mattilalta Helsingin kansallisessa tietoturvakeskuksessa, joka tarvitsi vain noin satatuhatta pyyntöä salausavaimien hankkimiseksi.
Sen jälkeen kun kaksi ensimmäistä haastevoittajaa oli ilmoitettu, Cloudflare päivitti bloginsa lauantaina kahdella enemmän vahvistettuja voittajaita - Rubin Xu, tohtoriopiskelija Cambridgen yliopistossa ja Ben Murphy, turvallisuus Tutkija. Molemmat henkilöt todistivat pystyvänsä vetämään yksityisen salausavaimen pois palvelimelta, ja Cloudflare vahvisti että kaikki ihmiset, jotka menestyivät onnistuneesti haasteessa, tekivät niin, että käyttivät muuta kuin vain Heartbleedin hyväksikäyttöä.
Vaarat, joita hakkeri saa salauksen avaimen palvelimelta, on laajalle levinnyt. Mutta pitäisikö sinun olla huolissasi?
Kuten Christian äskettäin huomautti, monet tiedotusvälineiden lähteet lisäävät uhkaa Sydämen syke - Mitä voit tehdä pysyäksesi turvassa? Lue lisää haavoittuvuuden perusteella, joten todellisen vaaran määrittäminen voi olla vaikeaa.
Mitä voit tehdä: Selvitä, ovatko käyttämäsi online-palvelut haavoittuvia (Christian tarjosi useita resursseja yllä olevassa linkissä). Jos ne ovat, vältä palvelun käyttämistä, kunnes kuulet palvelimien laastuneen. Älä vaihda salasanasi, koska annat vain enemmän hakkereille lähetettyjä tietoja salauksen purkamiseen ja tietojen hankkimiseen. Matalaa, tarkkaile palvelimien tilaa ja siirry sisään ja vaihda heti salasanasi, kun ne on ladattu.
Lähde: Ars Technica | Kuvaluotto: Hakkeri siluetti kirjoittanut GlibStock Shutterstockissa
Ryanilla on BSc-tutkinto sähkötekniikasta. Hän on työskennellyt 13 vuotta automaatiotekniikassa, 5 vuotta IT: ssä ja on nyt sovellusinsinööri. MakeUseOfin entinen toimitusjohtaja, hänet puhutaan kansallisissa konferensseissa datan visualisoinnista ja hänet on esitelty kansallisessa televisiossa ja radiossa.