Stik imod tidligere antagelser er det muligt for hackere at udnytte en sårbarhed i OpenSSL til at udtrække private krypteringsnøgler fra hjemmesider. Det skriver Ars Technica.
Det blev opdaget under et forsøg, hvor en række hackere og sikkerhedseksperter udfordrede hinanden i at udnytte sikkerhedshullet, der er døbt Heartbleed, fordi sårbarheden er i modulet Heartbeat.
Kun ni timer efter konkurrencen var skudt i gang, havde softwareingeniør Fedor Indutny og Ilkka Mattila fra NCSC-FI fået adgang til serverens private nøgler udelukkende ved at udnytte Heartbleed-hullet.
Derfor tyder det på, at det ikke er nok at opdatere sine servere til en version uden Heartbleed-hullet. Som udgangspunkt bliver det nemlig ikke vist i serverloggen, om en hacker har været inde og hente de private krypteringsnøgler, og det er derfor muligt, at en hacker været inde og hente nøglerne inden en sikkerhedsopdatering.
Alle, der har adgang til en hjemmesides private krypteringsnøgle, kan klone hjemmesiden og lave en side, der stort set er magen til den originale. På den måde kan hackere narre private oplysninger ud af brugerne.
Derfor anbefaler CloudFlare nu, at internettjenester får sig nogle nye SSL-certifikater.
Leave a Reply