Реклама
Вести из Цлоудфларе-а у петак показују да је расправа готова о томе да ли је нови ОпенССЛ Рањивост путем срца може се искористити за добијање приватних кључева за шифровање од рањивих сервера и веб странице. Цлоудфларе је потврдио да је независно тестирање треће стране открило да је то у ствари тачно. Угрожени су приватни кључеви за енкрипцију.
МакеУсеОф је претходно пријавио Грешка ОпенССЛ Огромна грешка у ОпенССЛ-у доводи у опасност много интернетаАко сте један од оних људи који су одувек веровали да је криптографија отвореног кода најсигурнији начин за комуникацију на мрежи, чека вас неко изненађење. Опширније прошле недеље, и тада је наговестило да ли су рањиви кључеви за шифровање и даље у питању, јер Адам Ланглеи, Гоогле-ов стручњак за безбедност, то није могао да потврди случај.
Цлоудфларе је првобитно издао „Хеартблеед Цхалленге"У петак, подешавајући нгинк сервер са рањивом инсталацијом ОпенССЛ-а и изазвао заједницу хакера да покуша да добије приватни кључ за шифровање сервера. Онлине хакери скочили су да испуне изазов, а у петак су две особе успеле, а уследило је још неколико „успеха“. Сваки успешан покушај издвајања приватних кључева за енкрипцију путем рањивости Хеартблеед-а додаје све већем броју доказа да би утицај Хеарблееда могао бити гори него што је био изворни сумња се.
Прва пријава стигла је истог дана када је издао изазов, инжењер софтвера по имену Федор Индутни. Федор је успео након што је напао сервер са 2,5 милиона захтева.
Друга пријава стигла је од Илкке Маттила из Националног центра за цибер безбедност у Хелсинкију, којој је било потребно само стотину хиљада захтева да добију кључеве за шифровање.
Након што су објављена прва два победника изазова, Цлоудфларе је у суботу ажурирао свој блог више потврђених победника - Рубин Ксу, студент доктора наука на Универзитету Цамбридге, и Бен Мурпхи, безбедњак Истраживач. Обе особе су доказале да могу да повуку приватни кључ за шифровање са сервера, а Цлоудфларе је потврдио да су сви појединци који су успешно превазишли изазов учинили то користећи ништа више од само искориштавања Хеартблеед-а.
Опасности које представља хакер који добија кључ за шифровање на серверу је широко распрострањен. Али да ли би требало да бринеш?
Као што је Кристијан недавно истакао, многи медијски извори надимају претњу Срчано срце - шта можете учинити да останете сигурни? Опширније рањивошћу, па може бити тешко измјерити стварну опасност.
Шта можете учинити: сазнајте да ли су интернетски сервиси које користите рањиви (Цхристиан је пружио неколико ресурса на горњој вези). Ако постоје, избјегавајте кориштење те услуге док не чујете да су сервери закрпани. Не трчите за променом лозинки, јер хакерима дајете само више послатих података за дешифровање и добијање ваших података. Лежите ниско, пратите статус сервера и када су закрпани, уђите и одмах промените лозинке.
Извор: Арс Тецхница | Кредитна слика: Силуета хакера аутор: ГлибСтоцк из Схуттерстоцка
Риан је дипломирао електротехнику. Радио је 13 година у инжењерству аутоматизације, 5 година у ИТ-у, а сада је Аппс инжењер. Бивши главни уредник МакеУсеОф-а, говорио је на националним конференцијама о визуализацији података и био је приказан на националној телевизији и радију.