Liczne serwery HTTPS podatne na atak
Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS. Atak DROWN pozwala napastnikowi na złamanie szyfru i odczytanie oraz kradzież wrażliwej komunikacji, w tym haseł, numerów kart kredytowych, tajemnic handlowych i danych finansowych. Nasze badania wykazały, że 33% serwerów HTTPS jest podatnych na atak - stwierdzają odkrywcy dziury. Z badań wynika też, że na atak podatnych jest 25% domen najwyższego rzędu wykorzystujących HTTPS.
Zagrożenia atakiem DROWN są związane głównie z wadliwą konfiguracją serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Zapewnianie takiego wsparcia nie ma praktycznego znaczenia, gdyż SSLv2 nie jest obsługiwane przez klientów. Dotychczas jednak sądzono, że samo wspieranie tego protokołu, o którym wiadomo, że ma liczne wady, nie stanowi problemu, gdyż nie jest on używany. Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2 i używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS.
Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web.
Aby ochronić się przed atakiem właściciele serwerów powinni być pewni, że ich prywatne klucze nie są używane na żadnej maszynie zezwalającej na połączenia SSLv2.
Okazuje się, że na atak DROWN narażone są największe polskie witryny, a także witryny wielu banków. Bezpieczeństwo swojego serwera można sprawdzić na https://test.drownattack.com/
Komentarze (1)
wilk, 2 marca 2016, 22:59