Le notizie di Cloudflare di venerdì indicano che è in corso un dibattito sull'opportunità di utilizzare la nuova vulnerabilità OpenSSL Heartbleed per ottenere chiavi di crittografia private da server e siti Web vulnerabili. Cloudflare ha confermato che test indipendenti di terze parti hanno rivelato che ciò è vero. Le chiavi di crittografia private sono a rischio.
MakeUseOf ha riportato in precedenza il bug di OpenSSL Il bug di grandi dimensioni in OpenSSL mette gran parte del rischio di Internet su Internet Massive in OpenSSL mette molta Internet a rischio Se sei una di quelle persone che hanno sempre creduto che la crittografia open source sia il modo più sicuro per comunicare online, sei per una sorpresa. Leggi di più la settimana scorsa, indicando in quel momento se le chiavi di crittografia erano vulnerabili o meno, era ancora in dubbio, perché Adam Langley, un esperto di sicurezza di Google, non poteva confermare che fosse così.
Cloudflare ha lanciato in origine una "Sfida Heartbleed" venerdì, creando un server nginx con l'installazione vulnerabile di OpenSSL sul posto e ha sfidato la comunità degli hacker a cercare di ottenere la chiave di crittografia privata del server. Gli hacker online sono saltati per vincere la sfida, e due individui sono riusciti a partire da venerdì, e molti altri "successi" sono seguiti. Ogni tentativo riuscito di estrarre le chiavi di crittografia private solo attraverso la vulnerabilità Heartbleed aggiunge al crescente numero di prove che l'impatto di Hearbleed potrebbe essere peggiore di quanto inizialmente sospettato.
Il primo invio è arrivato lo stesso giorno in cui la sfida è stata lanciata da un ingegnere del software con il nome di Fedor Indutny. Fedor è riuscito dopo aver battuto il server con 2, 5 milioni di richieste.
La seconda richiesta è arrivata da Ilkka Mattila del National Cyber Security Center di Helsinki, che aveva solo bisogno di circa centomila richieste per ottenere le chiavi di crittografia.
Dopo che i primi due vincitori della sfida sono stati annunciati, Cloudflare ha aggiornato il suo blog sabato con altri due vincitori confermati: Rubin Xu, uno studente di dottorato presso l'Università di Cambridge, e Ben Murphy, ricercatore di sicurezza. Entrambe le persone hanno dimostrato di essere in grado di estrarre la chiave di crittografia privata dal server e Cloudflare ha confermato che tutte le persone che hanno superato con successo la sfida lo hanno fatto utilizzando solo l'exploit Heartbleed.
I pericoli posti da un hacker che ottiene la chiave di crittografia su un server è molto diffuso. Ma dovresti essere preoccupato?
Come ha recentemente sottolineato Christian, molte fonti dei media stanno ipotizzando la minaccia rappresentata da Heartbleed: che cosa puoi fare per restare al sicuro? Heartbleed: cosa puoi fare per restare al sicuro? Leggi di più sulla vulnerabilità, quindi può essere difficile valutare il vero pericolo.
Cosa puoi fare: Scopri se i servizi online che utilizzi sono vulnerabili (Christian ha fornito diverse risorse al link sopra). Se lo sono, evita di usare quel servizio finché non senti che i server sono stati riparati. Non eseguire le modifiche per modificare le password, poiché fornisci solo più dati trasmessi per consentire agli hacker di decrittografare e ottenere i tuoi dati. Stai sdraiato, monitora lo stato dei server e quando sono stati riparati, entra e cambia immediatamente le tue password.
Fonte: Ars Technica | Credito immagine: Silhouette of a Hacker di GlibStock su Shutterstock