Gevaar bevestigd Heartbleed opent echt Crypto-sleutels voor hackers
Nieuws van Cloudflare op vrijdag geeft aan dat het debat voorbij is of de nieuwe OpenSSL Heartbleed-kwetsbaarheid zou kunnen worden gebruikt om privécoderingssleutels te verkrijgen van kwetsbare servers en websites. Cloudflare bevestigde dat onafhankelijke tests van derden hebben aangetoond dat dit in feite waar is. Private coderingssleutels lopen gevaar.
MakeUseOf eerder gemeld de OpenSSL bug Massive Bug in OpenSSL Zet veel van internet op risico Massale bug in OpenSSL zet veel van internet in gevaar Als u een van die mensen bent die altijd hebben geloofd dat open source cryptografie de veiligste manier is om te communiceren online, je bent in voor een beetje een verrassing. Meer lezen vorige week en gaf toen aan dat het wel degelijk in vraag was of coderingssleutels al dan niet kwetsbaar waren, omdat Adam Langley, een Google-beveiligingsdeskundige, dat niet kon bevestigen.
Cloudflare heeft oorspronkelijk een “Heartbleed Challenge” op vrijdag, het opzetten van een nginx-server met de kwetsbare installatie van OpenSSL op zijn plaats, en daagde de hackergemeenschap uit om te proberen de privé-encryptiesleutel van de server te verkrijgen. Online hackers zijn de uitdaging aangegaan en twee personen zijn erin geslaagd vanaf vrijdag en nog een paar andere “successen” gevolgd. Elke geslaagde poging om privécoderingssleutels te extraheren door alleen de Heartbleed-kwetsbaarheid draagt bij aan het groeiende aantal bewijzen dat de impact van Hearbleed slechter zou kunnen zijn dan oorspronkelijk werd vermoed.
De eerste inzending kwam op dezelfde dag dat de uitdaging werd uitgereikt door een Software Engineer met de naam Fedor Indutny. Fedor slaagde na het beuken van de server met 2,5 miljoen verzoeken.
De tweede inzending was afkomstig van Ilkka Mattila in het National Cyber Security Center in Helsinki, die slechts ongeveer honderdduizend verzoeken om de encryptiesleutels had gekregen.
Nadat de eerste twee uitdagingswinnaars waren aangekondigd, heeft Cloudflare zijn blog op zaterdag bijgewerkt met nog twee bevestigde winnaars - Rubin Xu, een doctoraatsstudent aan de universiteit van Cambridge en Ben Murphy, een beveiligingsonderzoeker. Beide personen hebben bewezen dat ze de privéversleutelingssleutel van de server konden halen en Cloudflare bevestigde dat alle individuen die de uitdaging met succes hebben overwonnen, dat deden met niets meer dan alleen de Heartbleed-exploit.
Het gevaar dat een hacker ondervindt bij het verkrijgen van de coderingssleutel op een server is wijdverbreid. Maar zou u zich zorgen moeten maken?
Zoals Christian recentelijk opmerkte, hypnotiseren veel mediabronnen de bedreigde situatie Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees Meer door de kwetsbaarheid, dus het kan moeilijk zijn om het echte gevaar te peilen.
Wat u kunt doen: Ontdek of de online services die u gebruikt kwetsbaar zijn (Christian heeft op de bovenstaande link verschillende bronnen opgegeven). Als dat zo is, vermijd het gebruik van die service totdat u hoort dat de servers zijn gepatcht. Ren niet naar binnen om uw wachtwoorden te wijzigen, want u verstrekt alleen meer verzonden gegevens voor hackers om uw gegevens te decoderen en te verkrijgen. Leg laag, bewaak de status van de servers en wanneer ze zijn gepatcht, ga je naar binnen en verander je meteen je wachtwoorden.
Bron: Ars Technica | Afbeelding tegoed: Silhouette of a Hacker van GlibStock bij Shutterstock
Meer informatie over: versleuteling, online beveiliging.