Reklaam
Reedesed Cloudflare'i uudised näitavad, et uue OpenSSL-i üle arutelu on lõppenud Südame haavatavust saab kasutada haavatavatest serveritest privaatsete krüptimisvõtmete saamiseks veebisaite. Cloudflare kinnitas, et kolmanda osapoole sõltumatutest katsetest selgus, et see on tegelikult tõsi. Privaatsed krüptimisvõtmed on ohus.
MakeUseOf teatas varem OpenSSL-i viga Massiivne viga OpenSSL-is ohustab suurt osa InternetistKui olete üks neist inimestest, kes on alati uskunud, et avatud lähtekoodiga krüptograafia on kõige turvalisem viis veebis suhelda, olete selle jaoks pisut üllatunud. Loe rohkem eelmisel nädalal ja teatas sel ajal, et kas krüptimisvõtmed olid haavatavad või mitte, oli ikkagi tegemist kuna Google'i turbeekspert Adam Langley ei suutnud seda kinnitada juhtum.
Cloudflare andis algselt välja „Südamega väljakutse”Seadistas reedel nginx-serveri, kus OpenSSL-i haavatav install on paigas, ja kutsus häkkerite kogukonda üles proovima serveri privaatset krüptimisvõtit. Veebipõhised häkkerid hüppasid väljakutse vastu ja kaks isikut said sellest reedel edu ning sellele järgnes veel mitu “õnnestumist”. Iga edukas katse eraldada privaatsed krüptimisvõtmed ainult läbi Heartbleedi haavatavuse lisab kasvavale tõendusmaterjalile, et Hearbleedi mõju võib olla halvem kui algselt kahtlustatakse.
Esimene avaldus saabus samal päeval, kui väljakutse esitas tarkvarainsener Fedor Indutny nimega. Fedor õnnestus pärast serveri uhket 2,5 miljoni päringuga.
Teine avaldus tuli Ilkka Mattilalt Helsingi Riiklikus Küberturbekeskuses, kellel oli krüpteerimisvõtmete saamiseks vaja vaid umbes sada tuhat taotlust.
Pärast kahe esimese väljakutse võitja väljakuulutamist uuendas Cloudflare laupäeval oma blogi kahega rohkem kinnitatud võitjaid - Cambridge'i ülikooli doktorant Rubin Xu ja turvaülem Ben Murphy Teadlane. Mõlemad isikud tõestasid, et suutsid privaatse krüptimisvõtme serverist välja tõmmata, kinnitas Cloudflare et kõik inimesed, kes said väljakutsega edukalt hakkama, tegid seda kõike muud, kui ainult Südameverelised.
Häired häkkerite poolt krüptimisvõtme hankimisel serveris on laialt levinud. Kuid kas peaksite muretsema?
Nagu Christian hiljuti rõhutas, palju meediaallikad tõstatavad tekkivat ohtu Südameveeb - mida saate teha, et turvaliselt püsida? Loe rohkem haavatavuse järgi, nii et tegeliku ohu hindamine võib olla keeruline.
Mida saate teha: uurige, kas teie kasutatavad võrguteenused on haavatavad (Christian pakkus ülaltoodud lingil mitmeid ressursse). Kui need on olemas, vältige selle teenuse kasutamist seni, kuni kuulete, et serverid on paika pandud. Ärge alustage oma paroolide muutmist, kuna pakute häkkeritele rohkem andmeid ainult nende andmete dekrüpteerimiseks ja hankimiseks. Laske madal olla, jälgige serverite olekut ja kui need on paika pandud, minge sisse ja muutke kohe oma paroole.
Allikas: Ars Technica | Kujutise krediit: Häkkerite siluett autor: GlibStock Shutterstockis
Ryanil on bakalaureuse kraad elektrotehnika alal. Ta on töötanud 13 aastat automatiseerimise alal, 5 aastat IT alal ja on nüüd rakenduste insener. MakeUseOfi endine tegevtoimetaja on rääkinud andmete visualiseerimise riiklikel konverentsidel ja teda on kajastatud üleriigilises televisioonis ja raadios.
