قراصنة ينجحون بسرقة مفاتيح تشفير عبر ثغرة القلب النازف
قالت شركة Cloudflare الشهيرة لخدمات المواقع أنها أجرت على مدى اسبوعين اختبارات حول ثغرة القلب النازف وتبين لها أنها ليست بهذا السوء الذي تتحدث عنه المواقع.
وأضافت أن الباحثين الأمنين لم يتمكنوا من الإستفادة من الثغرة لسرقة مفاتيح التشفير الخاصة SSL للمواقع، تلك التي تستخدم لحماية البيانات المتبادلة ما بين الموقع والمستخدم.
و قدمت الشركة تحدي للخبراء الأمنين لمن يتمكن من النجاح بالحصول على مفاتيح الحماية الخاصة بمخدم تجريبي كان يحوي الثغرة، ولسوء الحظ هناك شخصين تمكنا بالفعل من استغلال الثغرة وحصلوا على مفاتيح SSL الخاصة بعد إرسال ملايين الطلبات.
قالت الشركة أن كل من Fedor Indutny من فريق node.js و llkka Mattila تمكنوا من سحب مفاتيح التشفير الخاصة SSL بنجاح.
هذا الأمر خطير بالفعل، حيث وبعد أن قامت الشركات بسد الثغرة الأمنية في بروتوكول Open SSL على مخدماتها يمكن الإستفادة من مفاتيح التشفير الخاصة المسروقة، والأمر يحتاج لتحديث شهادة الأمان للموقع بالكامل و إبطال المفاتيح القديمة و إنشاء مفاتيح جديدة بدلاً عنها.
كنا قد تحدثنا في خبر سابق عن كبرى المواقع وخدمات الإنترنت و وضع مخدماتها إن كانت قد تضررت بالثغرة و هل يوصى بتغيير كلمة المرور أم لا.
Just cracked @CloudFlare ’s challenge: https://t.co/8ZPSxyKF4D . I wonder when they’ll update the page.
— Elоn Musk (Parody) fosstodon.org/@indutny (@indutny) April 11, 2014
انا غيرت الباسورد الخاص بالمواقع المهمة من باب الاحتياط