Nyheder fra Cloudflare på fredag indikerer, at debatten er forbi, om den nye OpenSSL Heartbleed sårbarhed kunne udnyttes til at opnå private krypteringsnøgler fra sårbare servere og hjemmesider. Cloudflare bekræftede, at tredjeparts uafhængige test afslørede, at dette rent faktisk er sandt. Private krypteringsnøgler er i fare.
MakeUseOf rapporterede tidligere OpenSSL-fejlen Massive Bug i OpenSSL lægger meget af internet i fare Massive fejl i OpenSSL lægger meget af internet i fare Hvis du er en af de mennesker, der altid har troet, at open source kryptografi er den sikreste måde at kommunikere online, du er i for lidt overraskelse. Læs mere i sidste uge, og på det tidspunkt angav, at om krypteringsnøglerne var sårbare, var det stadig i spørgsmålet, fordi Adam Langley, en sikkerhedsekspert fra Google, ikke kunne bekræfte det som tilfældet.
Cloudflare udstedte oprindeligt en "Heartbleed Challenge" på fredag, og etablerede en nginx-server med den sårbare installation af OpenSSL på plads og udfordrede hacker-fællesskabet for at prøve at få serverens private krypteringsnøgle. Online hackere hoppede for at møde udfordringen, og to personer lykkedes fra fredag, og flere flere "succeser" fulgte. Hvert vellykket forsøg på at udvinde private krypteringsnøgler gennem kun Heartbleed sårbarheden tilføjer til den voksende beviser for, at virkningen af Hearbleed kan være værre end oprindeligt mistanke om.
Den første indsendelse kom på samme dag udfordringen blev udstedt af en software engineer ved navn Fedor Indutny. Fedor lykkedes efter at have slået serveren med 2, 5 millioner anmodninger.
Den anden indsendelse kom fra Ilkka Mattila på det nationale cybersikkerhedscenter i Helsinki, som kun havde brug for omkring hundrede tusind anmodninger om at få krypteringsnøglerne.
Efter de første to udfordringer blev vinderne annonceret, opdaterede Cloudflare sin blog lørdag med to bekræftede vindere - Rubin Xu, en ph.d.-studerende ved Cambridge University og Ben Murphy, en sikkerhedsforsker. Begge individer viste sig, at de var i stand til at trække den private krypteringsnøgle fra serveren, og Cloudflare bekræftede, at alle enkeltpersoner, der med held overstyrede udfordringen, gjorde det ved ikke at bruge mere end kun Heartbleed-udnyttelsen.
Farerne ved en hacker, der får krypteringsnøglen på en server, er udbredt. Men skal du være bekymret?
Som kristen for nylig påpegede, hænger mange mediekilder op i truslen om, at Heartbleed - hvad kan du gøre for at forblive trygt? Heartbleed - Hvad kan du gøre for at være sikker? Læs mere af sårbarheden, så det kan være svært at måle den reelle fare.
Hvad du kan gøre: Find ud af, om de onlinetjenester du bruger er sårbare (Christian leverede flere ressourcer på linket ovenfor). Hvis de er, undgå at bruge denne tjeneste, indtil du hører, at serverne er blevet patched. Kør ikke ind for at ændre dine adgangskoder, fordi du kun leverer mere overførte data til hackere til at dekryptere og få dine data. Lav låg, overvåge servernes status, og når de er blevet patched, skal du gå ind og straks ændre dine adgangskoder.
Kilde: Ars Technica | Billedkredit: Silhouette of a Hacker af GlibStock hos Shutterstock