Propaganda
Notícias do Cloudflare na sexta-feira indicam que o debate terminou sobre se o novo OpenSSL A vulnerabilidade heartbleed pode ser utilizada para obter chaves de criptografia privadas de servidores vulneráveis e sites. O Cloudflare confirmou que testes independentes e de terceiros revelaram que isso é verdade. As chaves de criptografia privadas estão em risco.
MakeUseOf relatou anteriormente o Bug do OpenSSL Bug maciço no OpenSSL coloca grande parte da Internet em riscoSe você é uma daquelas pessoas que sempre acreditou que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, você ficará surpreso. consulte Mais informação na semana passada e indicou na época que a vulnerabilidade das chaves de criptografia ainda estava em questão, porque Adam Langley, especialista em segurança do Google, não pôde confirmar isso como sendo o caso.
O Cloudflare emitiu originalmente um "Desafio Heartbleed”Na sexta-feira, configurando um servidor nginx com a instalação vulnerável do OpenSSL em vigor e desafiou a comunidade de hackers a tentar obter a chave de criptografia privada do servidor. Os hackers online saltaram para enfrentar o desafio, e dois indivíduos tiveram sucesso na sexta-feira, e vários outros "sucessos" se seguiram. Cada tentativa bem-sucedida de extrair chaves de criptografia privadas apenas através da vulnerabilidade Heartbleed acrescenta ao crescente corpo de evidências de que o impacto do Hearbleed poderia ser pior do que o originalmente suspeito.
A primeira submissão ocorreu no mesmo dia em que o desafio foi lançado, por um engenheiro de software com o nome de Fedor Indutny. Fedor conseguiu depois de bater o servidor com 2,5 milhões de solicitações.
A segunda submissão veio de Ilkka Mattila, no Centro Nacional de Segurança Cibernética de Helsinque, que precisava de apenas cem mil pedidos para obter as chaves de criptografia.
Depois que os dois primeiros vencedores do desafio foram anunciados, o Cloudflare atualizou seu blog no sábado com dois vencedores mais confirmados - Rubin Xu, um estudante de doutorado na Universidade de Cambridge, e Ben Murphy, um segurança Investigador. Ambos os indivíduos provaram que foram capazes de retirar a chave de criptografia privada do servidor e o Cloudflare confirmou que todos os indivíduos que venceram o desafio com sucesso o fizeram usando nada mais do que apenas a exploração Heartbleed.
Os perigos colocados por um hacker que obtém a chave de criptografia em um servidor são generalizados. Mas você deveria estar preocupado?
Como Christian apontou recentemente, muitos fontes de mídia estão exagerando a ameaça representada Heartbleed - O que você pode fazer para se manter seguro? consulte Mais informação pela vulnerabilidade, para que possa ser difícil avaliar o perigo real.
O que você pode fazer: Descubra se os serviços on-line que você utiliza são vulneráveis (Christian forneceu vários recursos no link acima). Se estiverem, evite usar esse serviço até ouvir que os servidores foram corrigidos. Não corra para alterar suas senhas, porque você está fornecendo apenas mais dados transmitidos para que os hackers descriptografem e obtenham seus dados. Fique quieto, monitore o status dos servidores e, quando eles estiverem corrigidos, entre e altere imediatamente suas senhas.
Fonte: Ars Technica | Crédito da imagem: Silhueta de um Hacker por GlibStock em Shutterstock
Ryan é bacharel em Engenharia Elétrica. Ele trabalhou 13 anos em engenharia de automação, 5 anos em TI e agora é engenheiro de aplicativos. Um ex-editor-chefe do MakeUseOf, ele falou em conferências nacionais sobre visualização de dados e foi destaque na TV e rádio nacional.
