- Дом.
Споры о том, можно ли использовать новую уязвимость OpenSSL Heartbleed для получения закрытых ключей шифрования с уязвимых серверов и веб-сайтов, окончены. Компания Cloudflare подтвердила, что частные ключи шифрования находятся под угрозой
В пятницу компания Cloudflare сообщила, что споры о том, можно ли использовать новую уязвимость OpenSSL Heartbleed для получения закрытых ключей шифрования с уязвимых серверов и веб-сайтов, окончены.Cloudflare подтвердила, что независимое тестирование, проведенное третьей стороной, показало, что это действительно так. Частные ключи шифрования находятся под угрозой
ПК уже сообщал об ошибке OpenSSL на прошлой неделе и тогда указал, что вопрос о том, уязвимы ли ключи шифрования, остается под вопросом, поскольку Адам Лэнгли, эксперт по безопасности Google, не смог подтвердить, что это действительно так
Cloudflare первоначально выпустила ‘Heartbleed Challenge’ в пятницу, установив сервер nginx с уязвимой установкой OpenSSL, и предложила сообществу хакеров попытаться получить закрытый ключ шифрования сервера. Онлайновые хакеры поспешили ответить на вызов, и по состоянию на пятницу два человека добились успеха, а затем последовало еще несколько ‘успехов’. Каждая успешная попытка извлечь приватные ключи шифрования только через уязвимость Heartbleed пополняет растущее число доказательств того, что последствия Hearbleed могут быть хуже, чем предполагалось изначально
Первое сообщение поступило в тот же день, когда был опубликован вызов, от инженера-программиста по имени Федор Индутный. Федор добился успеха после того, как на сервер было подано 2,5 миллиона запросов
Вторая заявка поступила от Илкки Маттила из Национального центра кибербезопасности в Хельсинки, которому потребовалось всего около ста тысяч запросов, чтобы получить ключи шифрования
После того, как были объявлены первые два победителя, Cloudflare в субботу обновила свой блог, добавив еще двух подтвержденных победителей – Рубина Сю, аспиранта Кембриджского университета, и Бена Мерфи, исследователя в области безопасности. Оба человека доказали, что смогли вытащить закрытый ключ шифрования с сервера, а Cloudflare подтвердила, что все люди, успешно преодолевшие испытание, сделали это, используя только эксплойт Heartbleed
Опасность, которую представляет собой получение хакером ключа шифрования на сервере, широко распространена. Но стоит ли беспокоиться?
Как недавно отметил Кристиан, многие СМИ раздувают угрозу, исходящую от уязвимости, поэтому бывает трудно оценить реальную опасность
Что вы можете сделать: Выясните, уязвимы ли используемые вами онлайн-сервисы (Кристиан предоставил несколько ресурсов по ссылке выше). Если это так, не пользуйтесь этим сервисом, пока не узнаете, что серверы были исправлены. Не бегите менять пароли, так как вы только предоставите хакерам больше переданных данных для расшифровки и получения ваших данных. Затаитесь, следите за состоянием серверов, а когда они будут исправлены, заходите и немедленно меняйте пароли
Источник: Ars Technica | Image credit: Silhouette of a Hacker by GlibStock at Shutterstock
Комментировать