Nyheter från Cloudflare på fredag indikerar att debatten är över om huruvida den nya OpenSSL Heartbleed sårbarheten skulle kunna utnyttjas för att erhålla privata krypteringsnycklar från sårbara servrar och webbplatser. Cloudflare bekräftade att tredje part, oberoende test avslöjade att detta faktiskt är sant. Private krypteringsnycklar är i fara.
MakeUseOf rapporterade tidigare OpenSSL-felet Massive Bug i OpenSSL lägger mycket av Internet vid risken Massiv bugg i OpenSSL lägger mycket av Internet i fara Om du är en av de personer som alltid har trott att kryptering med öppen källkod är den säkraste sättet att kommunicera online, du är lite överraskad. Läs mer i förra veckan och angav då att krypteringsnycklarna var sårbara eller inte, eftersom Adam Langley, en säkerhetssäkerhetsexpert från Google, inte kunde bekräfta att det var fallet.
Cloudflare har ursprungligen utfärdat en "Heartbleed Challenge" på fredagen, och satte upp en nginx-server med den sårbara installationen av OpenSSL på plats och utmanade hackergemenskapen för att försöka få serverns privata krypteringsnyckel. Online hackare hoppade för att möta utmaningen, och två personer lyckades från fredagen och flera fler "framgångar" följde. Varje framgångsrikt försök att extrahera privata krypteringsnycklar genom endast Heartbleed sårbarheten lägger till den växande kroppen av bevis för att Hearbleeds inverkan kan vara sämre än vad som ursprungligen misstänktes.
Den första inlämningen kom samma dag utmaningen utfärdades, av en programvaruingenjör med namnet Fedor Indutny. Fedor lyckades efter att ha pundat servern med 2, 5 miljoner förfrågningar.
Den andra inlämningen kom från Ilkka Mattila vid det nationella cybersäkerhetscentret i Helsingfors, som bara behövde omkring hundra tusen begäranden för att få krypteringsnycklarna.
Efter de första två utmaningarna som vinnarna tillkännagav, uppdaterade Cloudflare sin blogg på lördag med ytterligare två bekräftade vinnare - Rubin Xu, doktorand vid Cambridge University och Ben Murphy, en säkerhetsforskare. Båda individerna visade att de kunde dra den privata krypteringsnyckeln från servern, och Cloudflare bekräftade att alla individer som framgångsrikt överträffade utmaningen gjorde det med att använda inget annat än bara Heartbleed-utnyttjandet.
Farorna som orsakas av en hacker som erhåller krypteringsnyckeln på en server är utbredd. Men ska du vara orolig?
Som kristen nyligen påpekade, hyser många mediekällor hypotetiskt hot som utgör Heartbleed - vad kan du göra för att vara säker? Heartbleed - Vad kan du göra för att vara säker? Läs mer av sårbarheten, så det kan vara svårt att mäta den verkliga faran.
Vad du kan göra: Ta reda på om de onlinetjänster du använder är sårbara (Christian gav flera resurser på länken ovan). Om de är, undvik att använda den tjänsten tills du hör att servrarna har blivit patched. Kör inte in för att ändra dina lösenord, eftersom du bara tillhandahåller mer överförda data för hackare att dekryptera och skaffa dina data. Lägg låga, övervaka statusen för servrarna, och när de har blivit patchade, gå in och ändra omedelbart dina lösenord.
Källa: Ars Technica | Bildkredit: Silhouette of a Hacker av GlibStock på Shutterstock