Lesley Fowler
0 
5078
87
Cloudflare'dan Cuma günkü haberler, savunmasız sunuculardan ve web sitelerinden özel şifreleme anahtarları almak için yeni OpenSSL Heartbleed güvenlik açığından yararlanılıp faydalanmayacağına ilişkin tartışmaların sona erdiğini gösteriyor. Cloudflare, üçüncü taraf bağımsız testlerin bunun doğru olduğunu ortaya çıkardığını doğruladı. Özel şifreleme anahtarları risk altındadır.
MakeUseOf daha önce OpenSSL hatalarını bildirmişti OpenSSL’de Büyük Hata Riske Girdi İnternet’in En Büyük Riskini Açtı OpenSSL’de Büyük Hata Riske Girdi OpenSSL’de Büyük İnternet Riski Var çevrimiçi olarak, biraz sürpriz yapmak üzeresiniz. geçen hafta ve o sırada şifreleme anahtarlarının savunmasız olup olmadığının hala sorguda bulunduğunu, çünkü bir Google güvenlik uzmanı olan Adam Langley'nin durum olduğunu doğrulayamadığını belirtti..
Cloudflare başlangıçta bir “Heartbleed Mücadelesi” Cuma günü, açık OpenSSL kurulumunu gerçekleştiren bir nginx sunucusu kurdu ve hacker topluluğuna sunucunun özel şifreleme anahtarını denemek ve elde etmek için meydan okudu. Çevrimiçi bilgisayar korsanları bu zorlukla başa çıkabildi ve iki kişi Cuma gününden itibaren başarılı oldu “başarılar” takip etti. Özel şifreleme anahtarlarını yalnızca Heartbleed güvenlik açığı aracılığıyla ayıklamaya yönelik her başarılı girişimde, Hearbleed'in etkisinin başlangıçta şüphelendiğinden daha kötü olabileceğine dair artan kanıtlar ortaya çıkıyor.
İlk başvuru, aynı gün içinde Fedor Indutny adına Yazılım Mühendisi tarafından zorluğun yapıldığı gün geldi. Fedor, sunucuyu 2,5 milyon istekle vurduktan sonra başarılı oldu.
İkinci sunum, Helsinki'deki Ulusal Siber Güvenlik Merkezi'ndeki İlkka Mattila'dan geldi ve şifreleme anahtarlarını elde etmek için yaklaşık yüzbinlerce istek gerekiyordu..
İlk iki yarışmanın kazananları açıklandıktan sonra Cloudflare, Cumartesi günkü onaylı iki kazananla blogunu güncelledi - Cambridge Üniversitesi'nde doktora öğrencisi olan Rubin Xu ve Güvenlik Araştırmacısı Ben Murphy. Her iki kişi de, özel şifreleme anahtarını sunucudan çekebildiklerini kanıtladı ve Cloudflare, bu sorunu başarıyla aşan tüm bireylerin, bunu yalnızca Heartbleed istismarından başka bir şey kullanarak yapmadığını doğruladı..
Bir sunucudaki şifreleme anahtarını elde eden bir bilgisayar korsanının yarattığı tehlikeler yaygındır. Ama endişelenmelisin?
Christian'ın yakın zamanda belirttiği gibi, birçok medya kaynağı Heartbleed'in yarattığı tehdidi hızlandırıyor - Güvende Kalmak için Ne Yapabilirsiniz? Heartbleed - Güvende Kalmak İçin Ne Yapabilirsiniz? güvenlik açığı nedeniyle, gerçek tehlikeyi ölçmek zor olabilir.
Yapabilecekleriniz: Kullandığınız çevrimiçi hizmetlerin savunmasız olup olmadığını öğrenin (Christian, yukarıdaki bağlantıda çeşitli kaynaklar sağladı). Varsa, sunucuların yamalandığını duyana kadar bu hizmeti kullanmaktan kaçının. Parolalarınızı değiştirmek için koşmayın, çünkü yalnızca bilgisayar korsanlarının şifresini çözmesi ve verilerinizi alması için daha fazla aktarılan veri sağlıyorsunuz. Yavaşlayın, sunucuların durumunu izleyin ve yamalar eklendiklerinde içeri girin ve şifrelerinizi hemen değiştirin.
Kaynak: Ars Technica | Görüntü kredisi: Shutterstock, GlibStock tarafından Hacker silüeti