Bestätigte Gefahr Heartbleed öffnet Kryptoschlüssel für Hacker

Nachrichten von Cloudflare am Freitag zeigen an, dass die Debatte darüber beendet ist, ob die neue Sicherheitslücke OpenSSL Heartbleed dazu verwendet werden kann, um private Verschlüsselungsschlüssel von anfälligen Servern und Websites zu erhalten. Cloudflare hat bestätigt, dass unabhängige Tests von Drittanbietern ergeben haben, dass dies tatsächlich zutrifft. Private Verschlüsselungsschlüssel sind gefährdet.

MakeUseOf hat bereits über den OpenSSL-Fehler berichtet. Massiver Fehler in OpenSSL setzt einen großen Teil des Internets in Gefahr Ein massiver Fehler in OpenSSL setzt einen großen Teil des Internet in Gefahr Wenn Sie zu den Menschen gehören, die immer daran geglaubt haben, dass Open Source-Kryptographie die sicherste Art der Kommunikation ist Online gibt es eine kleine Überraschung. Lesen Sie in der letzten Woche noch einmal, und gab an, dass die Verschlüsselungsschlüssel anfällig sind, da Adam Langley, ein Google-Sicherheitsexperte, dies nicht bestätigen konnte.

Cloudflare ursprünglich a “Heartbleed Herausforderung” Am Freitag wurde ein Nginx-Server mit der anfälligen Installation von OpenSSL eingerichtet und die Hacker-Community wurde aufgefordert, den privaten Verschlüsselungsschlüssel des Servers zu erhalten. Online-Hacker sprangen, um die Herausforderung zu meistern, und zwei Einzelpersonen waren am Freitag erfolgreich, und einige mehr “Erfolge” gefolgt. Jeder erfolgreiche Versuch, private Verschlüsselungsschlüssel nur durch die Heartbleed-Sicherheitsanfälligkeit zu extrahieren, verstärkt die wachsende Zahl von Beweisen, dass die Auswirkungen von Hearbleed möglicherweise schwerwiegender sind als ursprünglich vermutet.

Die erste Einreichung erfolgte am selben Tag, an dem die Herausforderung von einem Software-Ingenieur namens Fedor Indutny herausgegeben wurde. Fedor war erfolgreich, nachdem er den Server mit 2,5 Millionen Anfragen geschlagen hatte.

Die zweite Einreichung kam von Ilkka Mattila im Nationalen Zentrum für Cyber-Sicherheit in Helsinki, das nur etwa hunderttausend Anfragen benötigte, um die Verschlüsselungsschlüssel zu erhalten.

Nachdem die ersten beiden Herausforderungssieger bekannt gegeben wurden, hat Cloudflare am Samstag seinen Blog mit zwei weiteren bestätigten Gewinnern aktualisiert: Rubin Xu, ein Doktorand an der Cambridge University, und Ben Murphy, ein Sicherheitsforscher. Beide Personen haben bewiesen, dass sie den privaten Verschlüsselungsschlüssel vom Server abziehen können, und Cloudflare hat bestätigt, dass alle Personen, die die Herausforderung erfolgreich gemeistert haben, dies nur mit dem Heartbleed-Exploit getan haben.

Die Gefahren, die von einem Hacker ausgehen, der den Verschlüsselungsschlüssel auf einem Server abruft, sind weit verbreitet. Aber sollten Sie sich Sorgen machen?

Wie Christian kürzlich betonte, heben viele Medien die Bedrohung hervor, die Heartbleed darstellt - Was können Sie tun, um sicher zu bleiben? Heartbleed - Was können Sie tun, um sicher zu bleiben? Lesen Sie mehr über die Sicherheitsanfälligkeit. Daher kann es schwierig sein, die tatsächliche Gefahr einzuschätzen.

Was Sie tun können: Finden Sie heraus, ob die von Ihnen genutzten Online-Dienste anfällig sind (Christian hat mehrere Ressourcen unter dem Link oben bereitgestellt). Ist dies der Fall, vermeiden Sie die Verwendung dieses Dienstes, bis Sie hören, dass die Server gepatcht wurden. Versuchen Sie nicht, Ihre Kennwörter zu ändern, da Sie nur mehr übertragene Daten zur Verfügung stellen, damit Hacker Ihre Daten entschlüsseln und abrufen können. Legen Sie den Status niedrig, überwachen Sie den Status der Server, und wenn sie gepatcht wurden, gehen Sie rein und ändern Sie sofort Ihre Passwörter.

Quelle: Ars Technica | Bildnachweis: Silhouette eines Hackers von GlibStock bei Shutterstock

Erfahren Sie mehr über: Verschlüsselung, Online-Sicherheit.