Liczne serwery HTTPS podatne na atak DROWN

Liczne serwery HTTPS podatne na atak DROWN

Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS

Seria ataków na serwery HTTPS

Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS.

Atak DROWN pozwala napastnikowi na złamanie szyfru i odczytanie oraz kradzież wrażliwej komunikacji. Chodzi o  hasła, numery kart kredytowych, tajemnic handlowych i danych finansowych. Nasze badania wykazały, że 33% serwerów HTTPS jest podatnych na atak

- stwierdzają odkrywcy dziury. Z badań wynika też, że na atak podatnych jest 25% domen najwyższego rzędu wykorzystujących HTTPS.

Zagrożenia atakiem DROWN

Przyczyną ataków DROWN są wadliwe konfiguracje serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Z praktycznego punktu widzenia, takie wsp nie ma już zastosowania, gdyż SSLv2 nie jest obsługiwane przez klientów.  Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2, używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS. Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web. Prywatne klucze nie powinny być używane na żadnej maszynie zezwalającej na połączenia SSLv2. Na atak DROWN narażone są największe polskie witryny, a także witryny wielu banków. Bezpieczeństwo swojego serwera można sprawdzić na https://test.drownattack.com/. źródło: www.kopalniawiedzy.pl

Oceń blog:
Czas czytania: 3 min
Data: 03.03.2016

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)