פרסומת
חדשות מ- Cloudflare ביום שישי מצביעים על כך שהוויכוח הסתיים בשאלה האם OpenSSL החדשה ניתן להשתמש בפגיעות בלבב כדי להשיג מפתחות הצפנה פרטיים משרתים פגיעים אתרים. Cloudflare אישר כי בדיקות עצמאיות של צד ג 'חשפו כי זה אכן נכון. מפתחות הצפנה פרטיים נמצאים בסיכון.
MakeUseOf דיווח בעבר על באג OpenSSL באג מסיבי ב- OpenSSL מכניס הרבה לסכנה באינטרנטאם אתה אחד מאותם אנשים שתמיד האמינו שקריפטוגרפיה של קוד פתוח היא הדרך הבטוחה ביותר לתקשר באופן מקוון, אתה יכול להפתיע קצת. קרא עוד בשבוע שעבר, והצביעו באותה עת כי עדיין קיימת פגיעות במפתחות ההצפנה בשאלה, מכיוון שאדם לנגלי, מומחה אבטחה של גוגל, לא יכול היה לאשר זאת מקרה.
Cloudflare הוציא במקור "אתגר"ביום שישי, הקמת שרת nginx עם התקנת פגיע של OpenSSL במקום, ואתגר את קהילת ההאקרים לנסות להשיג את מפתח ההצפנה הפרטי של השרת. האקרים מקוונים קפצו לעמוד באתגר, ושני אנשים הצליחו החל מיום שישי, וכמה "הצלחות" נוספות עקבו אחר כך. כל ניסיון מוצלח לחלץ מפתחות הצפנה פרטיים באמצעות הפגיעות של Heartbleed בלבד מוסיף לגוף ההוכחות ההולך וגדל כי ההשפעה של Hearbleed יכולה להיות גרועה יותר מאשר במקור חשוד.
ההגשה הראשונה הגיעה באותו יום בו הונפק האתגר, על ידי מהנדס תוכנה בשם פדור אינדוטני. פדור הצליח לאחר שחבט בשרת עם 2.5 מיליון בקשות.
ההגשה השנייה הגיעה מאילקה מתילה במרכז הלאומי לביטחון סייבר בהלסינקי, שנזקקה רק למאה אלף בקשות להשיג את מפתחות ההצפנה.
לאחר שהוכרזו על שני הזוכים הראשונים באתגר, Cloudflare עדכן את הבלוג שלה ביום שבת בשניים זוכים מאושרים יותר - רובין שו, סטודנט לתואר שלישי באוניברסיטת קיימברידג ', ובן מרפי, אבטחה חוקר. שני האנשים הוכיחו שהם מסוגלים לשלוף את מפתח ההצפנה הפרטי מהשרת, ו- Cloudflare אישר כי כל האנשים שהצליחו להתגבר על האתגר עשו זאת באמצעות לא יותר מאשר רק לנצל את הלב.
הסכנות הנשקפות על ידי האקר השולט במפתח ההצפנה בשרת נפוצות. אבל האם צריך לדאוג?
כפי שציין כריסטיאן לאחרונה, רבים גורמים בתקשורת מעלים את האיום הנשקף פעורי לב - מה אתה יכול לעשות כדי להישאר בטוח? קרא עוד על ידי הפגיעות, כך שזה יכול להיות קשה לאמוד את הסכנה האמיתית.
מה אתה יכול לעשות: גלה אם השירותים המקוונים שאתה משתמש בהם הם פגיעים (כריסטיאן סיפק כמה משאבים בקישור שלמעלה). אם כן, הימנע משימוש בשירות זה עד שאתה שומע שהשרתים טופלו. אל תפעל כדי לשנות את הסיסמאות שלך, מכיוון שאתה רק מספק נתונים מועברים יותר להאקרים כדי לפענח ולקבל את הנתונים שלך. שכב נמוך, עקוב אחר מצב השרתים, וכאשר טופלו, היכנס והחלף מייד את הסיסמאות שלך.
מקור: Ars Technica | אשראי תמונה: צללית של האקר מאת גליברסטוק בשוטרסטוק
לראיין תואר ראשון בהנדסת חשמל. הוא עבד 13 שנה בהנדסת אוטומציה, 5 שנים בתחום ה- IT, וכעת הוא מהנדס אפליקציות. כעורך מנהל לשעבר של MakeUseOf, הוא דיבר בכנסים ארציים להמחשת נתונים והופיע בטלוויזיה וברדיו הארציים.
