Advertentie
Nieuws van Cloudflare op vrijdag geeft aan dat het debat over de vraag of de nieuwe OpenSSL voorbij is Heartbleed kwetsbaarheid kan worden gebruikt om persoonlijke encryptiesleutels te verkrijgen van kwetsbare servers en websites. Cloudflare bevestigde dat onafhankelijke tests van derden hebben aangetoond dat dit inderdaad waar is. Privé-encryptiesleutels lopen gevaar.
MakeUseOf meldde eerder de OpenSSL-bug Grote bug in OpenSSL brengt een groot deel van het internet in gevaarAls jij een van die mensen bent die altijd heeft geloofd dat open source cryptografie de veiligste manier is om online te communiceren, sta je voor een verrassing. Lees verder vorige week, en gaf toen aan dat het nog steeds niet zeker was of coderingssleutels kwetsbaar waren in kwestie, omdat Adam Langley, een beveiligingsexpert van Google, dat niet kon bevestigen als zijnde de geval.
Cloudflare heeft oorspronkelijk een "Heartbleed Challenge"Op vrijdag, het opzetten van een nginx-server met de kwetsbare installatie van OpenSSL, en daagde de hackergemeenschap uit om te proberen de privéversleutelingssleutel van de server te verkrijgen. Online hackers sprongen om de uitdaging aan te gaan, en twee individuen slaagden vanaf vrijdag en er volgden nog een aantal "successen". Elke geslaagde poging om persoonlijke coderingssleutels te extraheren via alleen de Heartbleed-kwetsbaarheid voegt toe aan het groeiende aantal bewijzen dat de impact van Hearbleed erger zou kunnen zijn dan oorspronkelijk vermoedelijke.
De eerste inzending kwam op dezelfde dag dat de challenge werd uitgegeven, door een Software Engineer met de naam Fedor Indutny. Fedor is hierin geslaagd door de server te beuken met 2,5 miljoen verzoeken.
De tweede inzending was afkomstig van Ilkka Mattila van het National Cyber Security Center in Helsinki, die slechts ongeveer honderdduizend verzoeken nodig had om de coderingssleutels te verkrijgen.
Nadat de eerste twee challenge-winnaars waren aangekondigd, heeft Cloudflare zijn blog op zaterdag bijgewerkt met twee meer bevestigde winnaars - Rubin Xu, een promovendus aan de Universiteit van Cambridge, en Ben Murphy, een beveiliging Onderzoeker. Beide individuen bewezen dat ze de privé-encryptiesleutel van de server konden halen, en Cloudflare bevestigde dat alle individuen die de uitdaging met succes hebben overwonnen, dit deden met niets meer dan alleen de Heartbleed-exploit.
De gevaren van een hacker die de coderingssleutel op een server verkrijgt, zijn wijdverbreid. Maar moet je je zorgen maken?
Zoals Christian onlangs opmerkte, velen mediabronnen maken de dreiging groter Heartbleed - Wat kunt u doen om veilig te blijven? Lees verder door de kwetsbaarheid, dus het kan moeilijk zijn om het echte gevaar in te schatten.
Wat u kunt doen: Zoek uit of de online services die u gebruikt kwetsbaar zijn (Christian heeft verschillende bronnen geleverd via de bovenstaande link). Als dat het geval is, gebruik die service dan niet totdat u hoort dat de servers zijn gepatcht. Loop niet binnen om uw wachtwoorden te wijzigen, want u levert alleen meer verzonden gegevens voor hackers om te ontsleutelen en uw gegevens te verkrijgen. Blijf laag, bewaak de status van de servers en als ze zijn gepatcht, ga dan naar binnen en wijzig onmiddellijk uw wachtwoorden.
Bron: Ars Technica | Afbeelding tegoed: Silhouet van een hacker door GlibStock op Shutterstock
Ryan heeft een BSc-graad in elektrotechniek. Hij heeft 13 jaar in automatiseringstechniek gewerkt, 5 jaar in IT en is nu een Apps Engineer. Hij was een voormalig hoofdredacteur van MakeUseOf, hij sprak op nationale conferenties over datavisualisatie en was te zien op nationale tv en radio.
