Seria ataków na serwery HTTPS
Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS.
Atak DROWN pozwala napastnikowi na złamanie szyfru i odczytanie oraz kradzież wrażliwej komunikacji. Chodzi o hasła, numery kart kredytowych, tajemnic handlowych i danych finansowych. Nasze badania wykazały, że 33% serwerów HTTPS jest podatnych na atak
– stwierdzają odkrywcy dziury. Z badań wynika też, że na atak podatnych jest 25% domen najwyższego rzędu wykorzystujących HTTPS.
Zagrożenia atakiem DROWN
Przyczyną ataków DROWN są wadliwe konfiguracje serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Z praktycznego punktu widzenia, takie wsp nie ma już zastosowania, gdyż SSLv2 nie jest obsługiwane przez klientów. Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2, używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS.
Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web.
Prywatne klucze nie powinny być używane na żadnej maszynie zezwalającej na połączenia SSLv2.
Na atak DROWN narażone są największe polskie witryny, a także witryny wielu banków. Bezpieczeństwo swojego serwera można sprawdzić na https://test.drownattack.com/.
źródło: www.kopalniawiedzy.pl
Redaktorka Net Complex Blog
