• Heartbleed: Chaves Criptográficas Privadas Podem ser Extraídas a Partir de Servidores Vulneráveis

    Publicado em 14-04-2014 19:00
    0 Comentários Comentários
    O bug Heartbleed, que recentemente foi descoberto por profissionais da área de segurança, pode ser explorado para a obtenção das chaves de criptografia privadas de sites vulneráveis​​, de acordo com informações da empresa de serviços da Web CloudFlare, divulgadas na última sexta-feira.A empresa tem vindo testar os seus próprios sistemas, uma vez que foram informados pela primeira vez sobre a vulnerabilidade, mas "não foram capazes de usar com sucesso a falha Heartbleed em um servidor vulnerável para recuperar todos os dados de chave privada.


    Eles sabiamente, se abstiveram de dizer que era impossível, porém, e decidiram lançar o Heartbleed Challenge. Dessa forma, foi fornecido um site vulnerável à falha em um servidor Nginx com uma versão vulnerável do OpenSSL, e feito o convite para que pesquisadores tentassem obter a chave privada a partir dele. Até o final do dia, haviam sido recebidas duas submissões válidas: uma pelo engenheiro de software, Fedor Indutny, e outra, por Ilkka Mattila em NCSC-FI. O número de envios girou em torno de 2,5 milhões de pedidos para o site ao longo do dia, e último registro foi em torno de cem mil solicitações durante o mesmo período.

    No sábado, mais dois challengers foram bem sucedidos: Rubin Xu, estudante de doutorado no grupo de Segurança , da Security group of Cambridge University, e o pesquisador de segurança Ben Murphy.


    Saiba Mais:

    [1] Net Security http://www.net-security.org/secworld.php?id=16685
    + Enviar Comentário