Anuncio
Las noticias de Cloudflare del viernes indican que el debate ha terminado con respecto a si el nuevo OpenSSL La vulnerabilidad de Heartbleed podría utilizarse para obtener claves de cifrado privadas de servidores vulnerables y sitios web Cloudflare confirmó que las pruebas independientes de terceros revelaron que esto es de hecho cierto. Las claves de cifrado privadas están en riesgo.
MakeUseOf informó anteriormente el Error de OpenSSL Un error masivo en OpenSSL pone en riesgo gran parte de InternetSi eres una de esas personas que siempre han creído que la criptografía de código abierto es la forma más segura de comunicarse en línea, te sorprenderá un poco. Lee mas la semana pasada, e indiqué en ese momento que si las claves de cifrado eran vulnerables o no en cuestión, porque Adam Langley, un experto en seguridad de Google, no pudo confirmarlo como el caso.
Cloudflare emitió originalmente un "Desafío Heartbleed"El viernes, al configurar un servidor nginx con la instalación vulnerable de OpenSSL, y desafió a la comunidad de hackers a intentar obtener la clave de cifrado privada del servidor. Los hackers en línea saltaron para enfrentar el desafío, y dos personas tuvieron éxito a partir del viernes, y siguieron varios "éxitos" más. Cada intento exitoso de extraer claves de cifrado privadas solo a través de la vulnerabilidad Heartbleed se agrega al creciente cuerpo de evidencia de que el impacto de Hearbleed podría ser peor que originalmente sospechoso
La primera presentación se produjo el mismo día en que se emitió el desafío, por un ingeniero de software llamado Fedor Indutny. Fedor tuvo éxito después de golpear el servidor con 2.5 millones de solicitudes.
La segunda presentación provino de Ilkka Mattila en el Centro Nacional de Seguridad Cibernética en Helsinki, que solo necesitaba alrededor de cien mil solicitudes para obtener las claves de cifrado.
Después de que se anunciaron los dos primeros ganadores del desafío, Cloudflare actualizó su blog el sábado con dos ganadores más confirmados: Rubin Xu, estudiante de doctorado en la Universidad de Cambridge, y Ben Murphy, un agente de seguridad Investigador. Ambas personas demostraron que podían extraer la clave de cifrado privada del servidor, y Cloudflare confirmó que todas las personas que superaron con éxito el desafío lo hicieron utilizando nada más que la hazaña Heartbleed.
Los peligros que plantea un pirata informático al obtener la clave de cifrado en un servidor están muy extendidos. ¿Pero deberías estar preocupado?
Como Christian señaló recientemente, muchos fuentes de medios están promocionando la amenaza planteada Heartbleed: ¿qué puede hacer para mantenerse a salvo? Lee mas por la vulnerabilidad, por lo que puede ser difícil medir el peligro real.
Qué puede hacer: Averigüe si los servicios en línea que utiliza son vulnerables (Christian proporcionó varios recursos en el enlace anterior). Si es así, evite usar ese servicio hasta que escuche que los servidores han sido parcheados. No corras para cambiar tus contraseñas, porque solo estás proporcionando más datos transmitidos para que los hackers descifren y obtengan tus datos. Esté bajo, monitoree el estado de los servidores y, cuando hayan sido parcheados, entre y cambie sus contraseñas de inmediato.
Fuente: Ars Technica El | Credito de imagen: Silueta de un hacker por GlibStock en Shutterstock
Ryan tiene una licenciatura en ingeniería eléctrica. Ha trabajado 13 años en ingeniería de automatización, 5 años en TI y ahora es ingeniero de aplicaciones. Ex editor jefe de MakeUseOf, ha hablado en conferencias nacionales sobre visualización de datos y ha aparecido en la televisión y radio nacionales.
