Cloudflare周五的新闻表明,关于新的OpenSSL Heartbleed漏洞是否可用于从易受攻击的服务器和网站获取私有加密密钥的争论已经结束。 Cloudflare确认第三方独立测试表明这是事实。
PCPC.me上周曾报告过OpenSSL错误,当时指出仍存在问题,因为Google安全专家亚当·兰利(Adam Langley)无法确认是否确实如此。
Cloudflare最初在周五发出了“ Heartbleed Challenge",建立了一个安装有易受攻击的OpenSSL的nginx服务器,并向黑客社区发起挑战,要求他们尝试获取服务器的专用加密密钥。网上黑客跳了起来,迎接挑战,截至周五,有两个人成功了,随后又有几次“成功"。每次仅通过Heartbleed漏洞成功提取私有加密密钥的尝试都增加了越来越多的证据,证明Hearbleed的影响可能比最初怀疑的还要糟糕。
第一次提交是在挑战发生的同一天由软件工程师Fedor Indutny发行。 Fedor在向服务器发送250万个请求后成功了。
第二个提交来自赫尔辛基国家网络安全中心的Ilkka Mattila,他只需要大约十万个请求就可以获取加密密钥。
p>
在宣布前两名挑战优胜者之后,Cloudflare在周六更新了博客,其中又有两名获得肯定的优胜者–剑桥大学的博士生Rubin Xu和安全研究员Ben Murphy。两个人都证明他们能够从服务器上提取私有加密密钥,并且Cloudflare确认所有成功克服挑战的个人都仅使用了Heartbleed漏洞利用了这一优势。
黑客在服务器上获取加密密钥非常普遍。但是,您应该担心吗?
正如克里斯蒂安(Christian)最近指出的那样,许多媒体都大肆宣传该漏洞带来的威胁,因此很难估量真正的危险。
您可以做什么:查找您使用的在线服务是否容易受到攻击(Christian在上面的链接中提供了一些资源)。如果是这样,则在听到服务器已打补丁之前,请避免使用该服务。请勿尝试更改密码,因为您仅提供了更多传输的数据供黑客解密并获取您的数据。放低一切,监视服务器的状态,对服务器进行修补后,进入并立即更改您的密码。
来源:Ars Technica |图片来源:GlibStock在Shutterstock上的GackStock的黑客剪影。
