Νέα από την Cloudflare την Παρασκευή δείχνουν ότι η συζήτηση ολοκληρώθηκε σχετικά με το αν η νέα ευπάθεια OpenSSL Heartbleed θα μπορούσε να χρησιμοποιηθεί για την απόκτηση ιδιωτικών κλειδιών κρυπτογράφησης από ευπαθείς διακομιστές και ιστότοπους. Cloudflare επιβεβαίωσε ότι ανεξάρτητοι έλεγχοι από τρίτους αποκάλυψαν ότι αυτό ισχύει στην πραγματικότητα. Τα ιδιωτικά κλειδιά κρυπτογράφησης βρίσκονται σε κίνδυνο.
Το MakeUseOf ανέφερε προηγουμένως το σφάλμα OpenSSL Massive Bug στο OpenSSL Βάζει μεγάλο μέρος του Διαδικτύου σε κίνδυνο Ο Massive Bug στο OpenSSL βάζει σε μεγάλο βαθμό το Internet σε κίνδυνο Εάν είστε ένας από εκείνους τους ανθρώπους που πάντα πίστευα ότι η κρυπτογραφία ανοιχτής πηγής είναι ο πιο ασφαλής τρόπος επικοινωνίας online, είσαι για λίγο μια έκπληξη. Διαβάστε την περασμένη εβδομάδα και ανέφερε ότι εκείνη την εποχή το ερώτημα εάν τα κλειδιά κρυπτογράφησης ήταν ή όχι ευαίσθητα εξακολουθούσε να τίθεται υπό αμφισβήτηση, επειδή ο Adam Langley, ειδικός ασφαλείας της Google, δεν το επιβεβαίωσε.
Το Cloudflare εξέδωσε αρχικά μια "Heartbleed Challenge" την Παρασκευή, δημιουργώντας έναν server nginx με την ευάλωτη εγκατάσταση του OpenSSL στη θέση του και προκάλεσε την κοινότητα των χάκερ να προσπαθήσει να αποκτήσει το ιδιωτικό κλειδί κρυπτογράφησης του διακομιστή. Οι online χάκερ πήδηξαν για να αντιμετωπίσουν την πρόκληση και δύο άτομα πέτυχαν από την Παρασκευή και ακολούθησαν αρκετές "επιτυχίες". Κάθε επιτυχής απόπειρα εξαγωγής ιδιωτικών κλειδιών κρυπτογράφησης μέσω μόνο της ευπάθειας Heartbleed προσθέτει στο αυξανόμενο σύνολο αποδεικτικών στοιχείων ότι η επίδραση του Hearbleed μπορεί να είναι χειρότερη από ό, τι αρχικά υποπτευόταν.
Η πρώτη υποβολή ήρθε την ίδια ημέρα που εκδόθηκε η πρόκληση, από έναν μηχανικό λογισμικού με το όνομα Fedor Indutny. Ο Fedor πέτυχε μετά από να χτυπήσει το διακομιστή με 2, 5 εκατομμύρια αιτήματα.
Η δεύτερη υποβολή προέρχεται από την Ilkka Mattila στο Εθνικό Κέντρο Ασφάλειας Cyber στο Ελσίνκι, ο οποίος χρειάστηκε μόνο περίπου εκατό χιλιάδες αιτήματα για την απόκτηση των κλειδιών κρυπτογράφησης.
Μετά την ανακοίνωση των δύο πρώτων νικητών πρόκλησης, το Cloudflare ενημέρωσε το blog του το Σάββατο με δύο ακόμα επιβεβαιωμένους νικητές - Rubin Xu, φοιτητή στο Πανεπιστήμιο του Cambridge και τον Ben Murphy, ερευνητή ασφάλειας. Και τα δύο άτομα απέδειξαν ότι ήταν σε θέση να τραβήξουν το ιδιωτικό κλειδί κρυπτογράφησης από το διακομιστή και το Cloudflare επιβεβαίωσε ότι όλα τα άτομα που κατάφεραν να ξεπεράσουν επιτυχώς την πρόκληση δεν το χρησιμοποίησαν παρά μόνο με το Heartbleed exploit.
Οι κίνδυνοι που θέτει ένας χάκερ για την απόκτηση του κλειδιού κρυπτογράφησης σε ένα διακομιστή είναι ευρέως διαδεδομένοι. Αλλά θα πρέπει να ανησυχείτε;
Όπως υπογράμμισε πρόσφατα ο Χριστιανός, πολλές πηγές των μέσων μαζικής ενημέρωσης υπονομεύουν την απειλή που ενέχει ο Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Heartbleed - Τι μπορείτε να κάνετε για να μείνετε ασφαλείς; Διαβάστε περισσότερα από την ευπάθεια, οπότε μπορεί να είναι δύσκολο να μετρήσετε τον πραγματικό κίνδυνο.
Τι μπορείτε να κάνετε: Μάθετε εάν οι ηλεκτρονικές υπηρεσίες που χρησιμοποιείτε είναι ευάλωτες (Christian παρείχε αρκετούς πόρους στον παραπάνω σύνδεσμο). Αν είναι, αποφύγετε να χρησιμοποιείτε αυτήν την υπηρεσία μέχρι να ακούσετε ότι οι διακομιστές έχουν επιδιορθωθεί. Μην τρέχετε για να αλλάξετε τους κωδικούς πρόσβασής σας, διότι παρέχετε μόνο περισσότερα μεταδιδόμενα δεδομένα για χάκερ για να αποκρυπτογραφήσετε και να αποκτήσετε τα δεδομένα σας. Χαμηλώστε, παρακολουθήστε την κατάσταση των διακομιστών και, όταν έχουν τροποποιηθεί, μεταβείτε και αλλάξτε αμέσως τους κωδικούς πρόσβασής σας.
Πηγή: Ars Technica | Image Credit: Σιλουέτα ενός χάκερ από την GlibStock στο Shutterstock