Skelbimas
Penktadienio „Cloudflare“ naujienos rodo, kad diskusijos baigėsi dėl to, ar naujoji „OpenSSL“ Širdies pažeidžiamumas galėtų būti panaudotas norint gauti privačius šifravimo raktus iš pažeidžiamų serverių ir interneto svetainėse. „Cloudflare“ patvirtino, kad trečiųjų šalių nepriklausomi bandymai parodė, kad tai iš tikrųjų yra tiesa. Privatiems šifravimo raktams gresia pavojus.
Anksčiau „MakeUseOf“ pranešė apie „OpenSSL“ klaida Dėl didžiulės „OpenSSL“ klaidos kyla pavojus internetuiJei esate iš tų žmonių, kurie visada manė, kad atvirojo kodo kriptografija yra pats saugiausias būdas bendrauti internete, esate šiek tiek nustebinti. Skaityti daugiau praėjusią savaitę ir tuo metu nurodė, kad šifravimo raktai vis dar buvo pažeidžiami „Adam“ Langley, „Google“ saugos ekspertas, negalėjo patvirtinti, kad yra atvejis.
„Cloudflare“ išleido „Iššūkis nuo širdiesPenktadienį, sukonfigūravę „nginx“ serverį su pažeidžiamu „OpenSSL“ diegimu, ir užginčijo įsilaužėlių bendruomenę pabandyti gauti serverio privatų šifravimo raktą. Internetiniai įsilaužėliai ėmėsi iššūkio ir dviem asmenims tai pavyko nuo penktadienio, o po to sekė dar keli „pasisekimai“. Kiekvienas sėkmingas bandymas išgauti privačius šifravimo raktus naudojant tik „Heartbleed“ pažeidžiamumą prideda vis daugiau įrodymų, kad „Hearbleed“ poveikis gali būti blogesnis nei iš pradžių įtariama.
Pirmą kartą paraišką pateikė tą pačią dieną, kai iššūkį pateikė programinės įrangos inžinierius, vardu Fedoras Indutny. „Fedor“ pavyko surūšiuoti serverį su 2,5 milijono užklausų.
Antrąjį pranešimą pateikė Ilkka Mattila, esančiame Nacionaliniame kibernetinio saugumo centre Helsinkyje. Jam reikėjo tik apie šimto tūkstančių prašymų šifravimo raktams gauti.
Paskelbus pirmųjų dviejų iššūkių laimėtojus, „Cloudflare“ šeštadienį atnaujino savo tinklaraštį dviem daugiau patvirtintų nugalėtojų - Kembridžo universiteto doktorantas Rubinas Xu ir apsaugos darbuotojas Benas Murphy Tyrėjas. Abu asmenys įrodė, kad sugebėjo ištraukti asmeninį šifravimo raktą nuo serverio, ir „Cloudflare“ patvirtino kad visi asmenys, sėkmingai įveikę iššūkį, padarė tai naudodamiesi ne tik širdies priepuoliu.
Pavojai, kuriuos įsilaužėlis gauna užšifravimo raktą serveryje, yra plačiai paplitęs. Bet ar turėtumėte jaudintis?
Kaip neseniai pažymėjo Christianas, daugelis žiniasklaidos šaltiniai pabrėžia kylančią grėsmę Širdies plakimas - ką galite padaryti, kad išliktumėte saugūs? Skaityti daugiau dėl pažeidžiamumo, todėl gali būti sunku įvertinti tikrąjį pavojų.
Ką galite padaryti: išsiaiškinkite, ar jūsų naudojamos internetinės paslaugos yra pažeidžiamos (krikščionis pateikė kelis šaltinius aukščiau esančioje nuorodoje). Jei tokių yra, venkite naudotis šia paslauga, kol neišgirsite, kad serveriai buvo pataisyti. Nepraeikite keisti savo slaptažodžių, nes teikiate daugiau perduodamų duomenų įsilaužėliams, kad jie galėtų iššifruoti ir gauti jūsų duomenis. Nusileiskite žemai, stebėkite serverių būseną ir, kai jie buvo pataisyti, eikite ir nedelsdami pakeiskite slaptažodžius.
Šaltinis: „Ars Technica“ | Vaizdo kreditas: Piratų siluetas pateikė GlibStock Shutterstock
Ryanas turi elektros inžinerijos bakalauro laipsnį. Jis 13 metų dirbo automatikos inžinerijoje, 5 metus IT srityje, o dabar yra programų inžinierius. Buvęs „MakeUseOf“ generalinis redaktorius, jis kalbėjo nacionalinėse duomenų vizualizacijos konferencijose ir buvo rodomas per nacionalinę televiziją ir radiją.