Nieuws van Cloudflare op vrijdag geeft aan dat het debat voorbij is of de nieuwe OpenSSL Heartbleed-kwetsbaarheid zou kunnen worden gebruikt om privécoderingssleutels te verkrijgen van kwetsbare servers en websites. Cloudflare bevestigde dat onafhankelijke tests van derden hebben aangetoond dat dit in feite waar is. Private coderingssleutels lopen gevaar.
MakeUseOf eerder gemeld de OpenSSL bug Massive Bug in OpenSSL Zet veel van internet op risico Massale bug in OpenSSL zet veel van internet in gevaar Als u een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om te communiceren online, je bent in voor een beetje een verrassing. Meer lezen vorige week en gaf toen aan dat het wel degelijk in vraag was of coderingssleutels al dan niet kwetsbaar waren, omdat Adam Langley, een Google-beveiligingsdeskundige, dit niet kon bevestigen.
Cloudflare leverde oorspronkelijk een 'Heartbleed Challenge' uit op vrijdag, richtte een nginx-server op met de kwetsbare installatie van OpenSSL op zijn plaats en daagde de hackergemeenschap uit om te proberen de persoonlijke coderingssleutel van de server te verkrijgen. Online hackers zijn de uitdaging aangegaan en twee personen zijn erin geslaagd vanaf vrijdag en er volgden nog een aantal "successen". Elke geslaagde poging om privécoderingssleutels te extraheren door alleen de Heartbleed-kwetsbaarheid draagt bij aan het groeiend aantal bewijzen dat de impact van Hearbleed slechter zou kunnen zijn dan oorspronkelijk werd vermoed.
De eerste inzending kwam op dezelfde dag dat de uitdaging werd uitgereikt door een Software Engineer met de naam Fedor Indutny. Fedor slaagde na het beuken van de server met 2, 5 miljoen verzoeken.
De tweede inzending was afkomstig van Ilkka Mattila van het National Cyber Security Center in Helsinki, die slechts ongeveer honderdduizend verzoeken om de coderingssleutels nodig had.
Nadat de eerste twee uitdagingswinnaars waren aangekondigd, heeft Cloudflare zijn blog op zaterdag bijgewerkt met nog twee bevestigde winnaars - Rubin Xu, een doctoraatsstudent aan de universiteit van Cambridge en Ben Murphy, een beveiligingsonderzoeker. Beide personen hebben bewezen dat ze de privéversleutelingssleutel van de server konden halen en Cloudflare bevestigde dat alle individuen die de uitdaging met succes hebben overwonnen, dat deden met niets meer dan alleen de Heartbleed-exploit.
Het gevaar dat een hacker ondervindt bij het verkrijgen van de coderingssleutel op een server is wijdverbreid. Maar zou u zich zorgen moeten maken?
Zoals Christian recentelijk opmerkte, hypnotiseren veel mediabronnen de bedreigde situatie Heartbleed - Wat kunt u doen om veilig te blijven? Heartbleed - Wat kunt u doen om veilig te blijven? Lees Meer door de kwetsbaarheid, dus het kan moeilijk zijn om het echte gevaar te peilen.
Wat u kunt doen: zoek uit of de online services die u gebruikt kwetsbaar zijn (Christian heeft op de bovenstaande link verschillende bronnen opgegeven). Als dat zo is, vermijd het gebruik van die service totdat u hoort dat de servers zijn gepatcht. Ren niet naar binnen om uw wachtwoorden te wijzigen, want u verstrekt alleen meer verzonden gegevens voor hackers om uw gegevens te decoderen en te verkrijgen. Leg laag, houd de status van de servers in de gaten en wanneer ze zijn gepatcht, ga je naar binnen en verander je meteen je wachtwoorden.
Bron: Ars Technica | Afbeelding tegoed: Silhouette of a Hacker van GlibStock bij Shutterstock