Peter Holmes
0 
4348
1202
Las noticias de Cloudflare del viernes indican que el debate terminó sobre si la nueva vulnerabilidad OpenSSL Heartbleed podría utilizarse para obtener claves de cifrado privadas de servidores y sitios web vulnerables. Cloudflare confirmó que las pruebas independientes de terceros revelaron que esto es de hecho cierto. Las claves de cifrado privadas están en riesgo.
MakeUseOf informó anteriormente que el error de OpenSSL El error masivo en OpenSSL pone en riesgo gran parte de Internet El error masivo en OpenSSL pone en riesgo gran parte de Internet Si usted es una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te espera una pequeña sorpresa. la semana pasada, e indiqué en ese momento que si las claves de cifrado eran o no vulnerables aún estaba en duda, porque Adam Langley, un experto en seguridad de Google, no pudo confirmar que ese fuera el caso.
Cloudflare emitió originalmente un “Desafío Heartbleed” el viernes, configuró un servidor nginx con la instalación vulnerable de OpenSSL y desafió a la comunidad de hackers a intentar obtener la clave de cifrado privada del servidor. Los hackers en línea saltaron para enfrentar el desafío, y dos personas tuvieron éxito a partir del viernes, y varias más “éxitos” seguido. Cada intento exitoso de extraer claves de cifrado privadas solo a través de la vulnerabilidad Heartbleed se suma al creciente cuerpo de evidencia de que el impacto de Hearbleed podría ser peor de lo que se sospechaba originalmente.
La primera presentación se produjo el mismo día en que se emitió el desafío, por un ingeniero de software llamado Fedor Indutny. Fedor tuvo éxito después de golpear el servidor con 2.5 millones de solicitudes.
La segunda presentación vino de Ilkka Mattila en el Centro Nacional de Seguridad Cibernética en Helsinki, quien solo necesitó alrededor de cien mil solicitudes para obtener las claves de cifrado.
Después de que se anunciaron los dos primeros ganadores del desafío, Cloudflare actualizó su blog el sábado con otros dos ganadores confirmados: Rubin Xu, estudiante de doctorado en la Universidad de Cambridge, y Ben Murphy, investigador de seguridad. Ambas personas demostraron que fueron capaces de extraer la clave de cifrado privada del servidor, y Cloudflare confirmó que todas las personas que superaron con éxito el desafío lo hicieron utilizando nada más que el exploit Heartbleed.
Los peligros que plantea un pirata informático al obtener la clave de cifrado en un servidor están muy extendidos. Pero deberías estar preocupado?
Como Christian señaló recientemente, muchas fuentes de los medios están promocionando la amenaza que plantea Heartbleed: ¿qué puede hacer para mantenerse a salvo? Heartbleed: ¿qué puede hacer para mantenerse a salvo? por la vulnerabilidad, por lo que puede ser difícil medir el peligro real.
Qué puede hacer: Averigüe si los servicios en línea que utiliza son vulnerables (Christian proporcionó varios recursos en el enlace anterior). Si es así, evite usar ese servicio hasta que escuche que los servidores han sido parcheados. No corras para cambiar tus contraseñas, porque solo estás proporcionando más datos transmitidos para que los hackers descifren y obtengan tus datos. Esté bajo, monitoree el estado de los servidores y, cuando hayan sido parcheados, entre y cambie sus contraseñas de inmediato..
Fuente: Ars Technica | Crédito de la imagen: silueta de un hacker por GlibStock en Shutterstock