Werbung
Nachrichten von Cloudflare am Freitag zeigen, dass die Debatte darüber, ob die neue OpenSSL ist, beendet ist Die Heartbleed-Sicherheitsanfälligkeit kann genutzt werden, um private Verschlüsselungsschlüssel von anfälligen Servern und zu erhalten Websites. Cloudflare bestätigte, dass unabhängige Tests von Drittanbietern ergeben haben, dass dies tatsächlich der Fall ist. Private Verschlüsselungsschlüssel sind gefährdet.
MakeUseOf hat zuvor das gemeldet OpenSSL-Fehler Ein massiver Fehler in OpenSSL gefährdet einen Großteil des InternetsWenn Sie zu den Leuten gehören, die immer geglaubt haben, dass Open Source-Kryptografie die sicherste Art der Online-Kommunikation ist, werden Sie überrascht sein. Weiterlesen letzte Woche und gab zu diesem Zeitpunkt an, dass es immer noch darum ging, ob Verschlüsselungsschlüssel anfällig waren oder nicht in Frage, weil Adam Langley, ein Google-Sicherheitsexperte, dies nicht als das bestätigen konnte Fall.
Cloudflare hat ursprünglich ein „Heartbleed Challenge
Am Freitag richtete er einen Nginx-Server mit der anfälligen Installation von OpenSSL ein und forderte die Hacker-Community auf, zu versuchen, den privaten Verschlüsselungsschlüssel des Servers zu erhalten. Online-Hacker stellten sich der Herausforderung, und ab Freitag waren zwei Personen erfolgreich, und es folgten mehrere weitere „Erfolge“. Jeder erfolgreiche Versuch, private Verschlüsselungsschlüssel nur über die Heartbleed-Sicherheitsanfälligkeit zu extrahieren fügt dem wachsenden Beweismaterial hinzu, dass die Wirkung von Hearbleed schlimmer sein könnte als ursprünglich vermutlich.
Die erste Einreichung erfolgte am selben Tag, an dem die Herausforderung von einem Software-Ingenieur namens Fedor Indutny gestellt wurde. Fedor war erfolgreich, nachdem er den Server mit 2,5 Millionen Anfragen geschlagen hatte.
Die zweite Einreichung kam von Ilkka Mattila vom National Cyber Security Center in Helsinki, die nur etwa hunderttausend Anfragen benötigte, um die Verschlüsselungsschlüssel zu erhalten.
Nachdem die ersten beiden Gewinner der Challenge bekannt gegeben wurden, hat Cloudflare am Samstag seinen Blog mit zwei aktualisiert Weitere bestätigte Gewinner - Rubin Xu, Doktorand an der Universität Cambridge, und Ben Murphy, Sicherheitsbeamter Forscher. Beide Personen haben bewiesen, dass sie den privaten Verschlüsselungsschlüssel vom Server abziehen können, und Cloudflare hat dies bestätigt dass alle Personen, die die Herausforderung erfolgreich gemeistert haben, dies nur mit dem Heartbleed-Exploit getan haben.
Die Gefahren, die von einem Hacker ausgehen, der den Verschlüsselungsschlüssel auf einem Server erhält, sind weit verbreitet. Aber sollten Sie sich Sorgen machen?
Wie Christian kürzlich betonte, viele Medienquellen erhöhen die Bedrohung Herzbluten - Was können Sie tun, um sicher zu bleiben? Weiterlesen Aufgrund der Sicherheitsanfälligkeit kann es daher schwierig sein, die tatsächliche Gefahr einzuschätzen.
Was Sie tun können: Finden Sie heraus, ob die von Ihnen genutzten Onlinedienste anfällig sind (Christian hat unter dem obigen Link mehrere Ressourcen bereitgestellt). Wenn dies der Fall ist, vermeiden Sie die Verwendung dieses Dienstes, bis Sie feststellen, dass die Server gepatcht wurden. Laufen Sie nicht hinein, um Ihre Passwörter zu ändern, da Sie nur mehr übertragene Daten bereitstellen, damit Hacker Ihre Daten entschlüsseln und abrufen können. Legen Sie sich zurück, überwachen Sie den Status der Server und ändern Sie Ihre Passwörter sofort, wenn sie gepatcht wurden.
Quelle: Ars Technica | Bildnachweis: Silhouette eines Hackers von GlibStock bei Shutterstock
Ryan hat einen BSc-Abschluss in Elektrotechnik. Er hat 13 Jahre in der Automatisierungstechnik, 5 Jahre in der IT gearbeitet und ist jetzt Apps Engineer. Als ehemaliger Managing Editor von MakeUseOf sprach er auf nationalen Konferenzen zur Datenvisualisierung und wurde im nationalen Fernsehen und Radio vorgestellt.