As notícias da Cloudflare na sexta-feira indicam que acabou o debate sobre se a nova vulnerabilidade OpenSSL Heartbleed poderia ser utilizada para obter chaves de criptografia privadas de servidores e sites vulneráveis. A Cloudflare confirmou que testes independentes de terceiros revelaram que isso é verdade. Chaves de criptografia privadas estão em risco.
MakeUseOf relatou anteriormente o bug do OpenSSL Bug massivo no OpenSSL coloca grande parte da Internet em risco Bug massivo no OpenSSL coloca grande parte da Internet em risco Se você é uma daquelas pessoas que sempre acreditaram que a criptografia de código aberto é a maneira mais segura de se comunicar on-line, você terá uma surpresa. Leia Mais na semana passada e, na época, indicava se as chaves de criptografia eram vulneráveis ou não, ainda estava em questão, porque Adam Langley, um especialista em segurança do Google, não pôde confirmar isso como sendo o caso.
A Cloudflare originalmente emitiu um “Desafio Heartbleed” na sexta-feira, configurando um servidor nginx com a instalação vulnerável do OpenSSL, e desafiou a comunidade hacker a tentar obter a chave privada de criptografia do servidor. Hackers online saltaram para enfrentar o desafio, e dois indivíduos conseguiram a partir de sexta-feira, e vários outros "sucessos" se seguiram. Cada tentativa bem-sucedida de extrair chaves de criptografia privadas apenas com a vulnerabilidade Heartbleed aumenta o crescente número de evidências de que o impacto do Hearbleed pode ser pior do que o inicialmente suspeito.
A primeira submissão veio no mesmo dia em que o desafio foi emitido, por um engenheiro de software com o nome de Fedor Indutny. Fedor conseguiu depois de bater o servidor com 2, 5 milhões de pedidos.
A segunda submissão veio de Ilkka Mattila, do Centro Nacional de Segurança Cibernética de Helsinque, que precisou apenas de cem mil pedidos para obter as chaves de criptografia.
Depois que os dois primeiros vencedores do desafio foram anunciados, a Cloudflare atualizou seu blog no sábado com mais dois ganhadores confirmados - Rubin Xu, estudante de doutorado na Universidade de Cambridge, e Ben Murphy, pesquisador de segurança. Ambos os indivíduos provaram que conseguiram retirar a chave de criptografia privada do servidor, e a Cloudflare confirmou que todos os indivíduos que superaram com sucesso o desafio fizeram isso usando nada mais do que apenas a exploração Heartbleed.
Os perigos representados por um hacker para obter a chave de criptografia em um servidor são generalizados. Mas você deveria estar preocupado?
Como Christian recentemente apontou, muitas fontes da mídia estão exaltando a ameaça que o Heartbleed representa: o que você pode fazer para permanecer seguro? Heartbleed - o que você pode fazer para ficar seguro? Leia mais pela vulnerabilidade, por isso pode ser difícil avaliar o perigo real.
O que você pode fazer: Descubra se os serviços online que você utiliza são vulneráveis (Christian forneceu vários recursos no link acima). Se estiverem, evite usar esse serviço até ouvir que os servidores foram corrigidos. Não corra para alterar suas senhas, porque você só está fornecendo mais dados transmitidos para que os hackers descriptografem e obtenham seus dados. Coloque baixo, monitore o status dos servidores, e quando eles foram corrigidos, entre e imediatamente mude suas senhas.
Fonte: Ars Technica | Crédito da imagem: Silhouette of a Hacker by GlibStock na Shutterstock