Annuncio pubblicitario
Le notizie di Cloudflare di venerdì indicano che il dibattito si è concluso sul fatto che il nuovo OpenSSL La vulnerabilità heartbleed potrebbe essere utilizzata per ottenere chiavi di crittografia private da server vulnerabili e siti web. Cloudflare ha confermato che test indipendenti di terze parti hanno rivelato che questo è in realtà vero. Le chiavi di crittografia private sono a rischio.
MakeUseOf ha precedentemente segnalato il Bug OpenSSL Un enorme bug in OpenSSL mette a rischio gran parte di InternetSe sei una di quelle persone che hanno sempre creduto che la crittografia open source fosse il modo più sicuro per comunicare online, avrai una sorpresa. Leggi di più la scorsa settimana e ha indicato a quel tempo che la vulnerabilità delle chiavi di crittografia era ancora in questione, perché Adam Langley, un esperto di sicurezza di Google, non ha potuto confermarlo come Astuccio.
Cloudflare originariamente ha emesso un "Sfida Heartbleed"Venerdì, ha creato un server nginx con l'installazione vulnerabile di OpenSSL e ha sfidato la comunità degli hacker a cercare di ottenere la chiave di crittografia privata del server. Gli hacker online sono saltati per affrontare la sfida, e due persone hanno avuto successo venerdì e sono seguiti molti altri "successi". Ogni tentativo riuscito di estrarre chiavi di crittografia private solo attraverso la vulnerabilità Heartbleed aggiunge al crescente numero di prove che l'impatto di Hearbleed potrebbe essere peggiore di quanto originariamente sospettato.
Il primo invio è arrivato lo stesso giorno in cui è stata emessa la sfida, da un ingegnere del software di nome Fedor Indutny. Fedor è riuscito dopo aver martellato il server con 2,5 milioni di richieste.
Il secondo invio è arrivato da Ilkka Mattila presso il National Cyber Security Center di Helsinki, che aveva solo bisogno di circa centomila richieste per ottenere le chiavi di crittografia.
Dopo l'annuncio delle prime due vincitrici della sfida, Cloudflare ha aggiornato il suo blog sabato con due vincitori più confermati: Rubin Xu, uno studente di dottorato presso l'Università di Cambridge, e Ben Murphy, un responsabile della sicurezza Ricercatore. Entrambi hanno dimostrato di essere in grado di estrarre la chiave di crittografia privata dal server e Cloudflare ha confermato che tutti gli individui che hanno superato con successo la sfida lo hanno fatto usando nient'altro che l'exploit Heartbleed.
I pericoli posti da un hacker che ottiene la chiave di crittografia su un server è molto diffuso. Ma dovresti essere preoccupato?
Come Christian ha recentemente sottolineato, molti fonti mediatiche stanno accusando la minaccia rappresentata Heartbleed - Cosa puoi fare per stare al sicuro? Leggi di più dalla vulnerabilità, quindi può essere difficile valutare il vero pericolo.
Cosa puoi fare: scopri se i servizi online che utilizzi sono vulnerabili (Christian ha fornito diverse risorse al link sopra). In tal caso, evitare di utilizzare quel servizio fino a quando non si sente che i server sono stati patchati. Non correre per cambiare le tue password, perché stai solo fornendo più dati trasmessi agli hacker per decifrare e ottenere i tuoi dati. Sdraiati, monitora lo stato dei server e quando sono stati patchati, entra e cambia immediatamente le tue password.
Fonte: Ars Technica | Credito immagine: Silhouette di un hacker di GlibStock presso Shutterstock
Ryan ha una laurea in ingegneria elettrica. Ha lavorato 13 anni in ingegneria dell'automazione, 5 anni in IT e ora è un ingegnere di app. Ex amministratore delegato di MakeUseOf, ha parlato a conferenze nazionali sulla visualizzazione dei dati ed è stato presentato su TV e radio nazionali.