Skocz do zawartości
Forum Kopalni Wiedzy
KopalniaWiedzy.pl

Liczne serwery HTTPS podatne na atak

dodany przez KopalniaWiedzy.pl, w Bezpieczeństwo IT

Rekomendowane odpowiedzi

KopalniaWiedzy.pl    314

KopalniaWiedzy.pl
Napisano

Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS. Atak DROWN pozwala napastnikowi na złamanie szyfru i odczytanie oraz kradzież wrażliwej komunikacji, w tym haseł, numerów kart kredytowych, tajemnic handlowych i danych finansowych. Nasze badania wykazały, że 33% serwerów HTTPS jest podatnych na atak - stwierdzają odkrywcy dziury. Z badań wynika też, że na atak podatnych jest 25% domen najwyższego rzędu wykorzystujących HTTPS.

Zagrożenia atakiem DROWN są związane głównie z wadliwą konfiguracją serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Zapewnianie takiego wsparcia nie ma praktycznego znaczenia, gdyż SSLv2 nie jest obsługiwane przez klientów. Dotychczas jednak sądzono, że samo wspieranie tego protokołu, o którym wiadomo, że ma liczne wady, nie stanowi problemu, gdyż nie jest on używany. Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2 i używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS.

Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web.

Aby ochronić się przed atakiem właściciele serwerów powinni być pewni, że ich prywatne klucze nie są używane na żadnej maszynie zezwalającej na połączenia SSLv2.

Okazuje się, że na atak DROWN narażone są największe polskie witryny, a także witryny wielu banków. Bezpieczeństwo swojego serwera można sprawdzić na https://test.drownattack.com/


« powrót do artykułu

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

wilk    103

wilk
Napisano

 

 

z powodu błędów w HTTPS
stoi w sprzeczności z

 

są związane głównie z wadliwą konfiguracją serwerów

Udostępnij tę odpowiedź

Odnośnik do odpowiedzi
Udostępnij na innych stronach

Jeśli chcesz dodać odpowiedź, zaloguj się lub zarejestruj nowe konto

Jedynie zarejestrowani użytkownicy mogą komentować zawartość tej strony.

Zarejestruj nowe konto

Załóż nowe konto. To bardzo proste!

Zarejestruj się

Zaloguj się

Posiadasz już konto? Zaloguj się poniżej.

Zaloguj się
Przejdź do listy tematów

  • Ostatnio przeglądający   0 użytkowników

    Brak zarejestrowanych użytkowników przeglądających tę stronę.

×
×
  • Dodaj nową pozycję...