İlan
Cuma günü Cloudflare'den çıkan haberler, yeni OpenSSL'nin Heartbleed güvenlik açığı, güvenlik açığı bulunan sunuculardan özel şifreleme anahtarları elde etmek için kullanılabilir ve web siteleri. Cloudflare, üçüncü taraf bağımsız testlerin bunun gerçek olduğunu gösterdiğini doğruladı. Özel şifreleme anahtarları risk altındadır.
Daha önce bildirilen OpenSSL hatası OpenSSL'deki Büyük Hata İnternetin Büyük Bir kısmını Risk Altına AldıHer zaman açık kaynak kodlu kriptografinin çevrimiçi iletişim kurmanın en güvenli yolu olduğuna inananlardan biriyseniz, biraz sürpriz içindesiniz. Daha fazla oku geçen hafta ve o sırada şifreleme anahtarlarının savunmasız olup olmadığını belirten çünkü bir Google güvenlik uzmanı olan Adam Langley, durum.
Cloudflare başlangıçta bir “Heartbleed Mücadelesi”Cuma günü, savunmasız OpenSSL kurulumuyla bir nginx sunucusu kurdu ve bilgisayar korsanı topluluğunun sunucunun özel şifreleme anahtarını almaya çalışmasına meydan okudu. Çevrimiçi hackerlar bu meydan okumayı karşılamak için atladılar ve Cuma gününden itibaren iki kişi başarılı oldu ve birkaç "başarı" daha sonra geldi. Her başarılı girişim, yalnızca Heartbleed güvenlik açığıyla özel şifreleme anahtarlarını ayıklama Hearbleed'in etkisinin başlangıçta olduğundan daha kötü olabileceğine dair artan kanıtlara şüpheli.
İlk başvuru, Fedor Indutny adıyla bir Yazılım Mühendisi tarafından zorluğun verildiği gün geldi. Fedor, sunucuyu 2,5 milyon istekle vurduktan sonra başarılı oldu.
İkinci başvuru, Helsinki'deki Ulusal Siber Güvenlik Merkezi'ndeki İlkka Mattila'dan geldi ve şifreleme anahtarlarını elde etmek için sadece yüz bin istek gerekiyordu.
İlk iki yarışmanın galipleri açıklandıktan sonra, Cloudflare Cumartesi günkü blogunu iki onaylanmış kazananlar - Cambridge Üniversitesi'nde doktora öğrencisi Rubin Xu ve Güvenlik Ben Murphy Araştırmacı. Her iki kişi de özel şifreleme anahtarını sunucudan çıkarabildiğini kanıtladı ve Cloudflare onayladı meydan okumayı başarılı bir şekilde aşan tüm bireyler bunu sadece Heartbleed istismarından başka bir şey kullanarak yapmadı.
Bir bilgisayar korsanının şifreleme anahtarını sunucuda almasının getirdiği tehlikeler yaygındır. Ama endişelenmeli misin?
Christian'ın yakın zamanda belirttiği gibi, birçok medya kaynakları ortaya çıkan tehdidi artırıyor Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? Daha fazla oku güvenlik açığı nedeniyle, gerçek tehlikeyi ölçmek zor olabilir.
Yapabilecekleriniz: Kullandığınız çevrimiçi hizmetlerin savunmasız olup olmadığını öğrenin (Christian, yukarıdaki bağlantıda çeşitli kaynaklar sağladı). Eğer öyleyse, sunucuların yamalanmış olduğunu duyana kadar bu hizmeti kullanmaktan kaçının. Şifrelerinizi değiştirmek için koşmayın, çünkü bilgisayar korsanlarının verilerinizin şifresini çözmesi ve alması için yalnızca daha fazla aktarılan veri sağlıyorsunuz. Düşük kalın, sunucuların durumunu izleyin ve yamaları eklendiklerinde, içeri girin ve hemen şifrelerinizi değiştirin.
Kaynak: Ars Technica | Resim kredisi: Bir hacker silüeti Shliberstock tarafından GlibStock
Ryan Elektrik Mühendisliği lisans derecesine sahiptir. 13 yıl otomasyon mühendisliği, 5 yıl BT'de çalıştı ve şu anda bir Uygulama Mühendisi. MakeUseOf'un eski bir Genel Yayın Yönetmeni, Veri Görselleştirme üzerine ulusal konferanslarda konuştu ve ulusal TV ve radyoda yer aldı.
