Środa, 2 marca 2016, 07:23
Serwery HTTPS podatne na atak
Eksperci ostrzegają, że nawet 11 milionów witryn jest podatnych na ataki z powodu błędów w HTTPS i innych usługach korzystających z protokołów SSL i TLS.Zagrożenia atakiem DROWN są związane głównie z wadliwą konfiguracją serwerów. Wiele z takich maszyn wciąż wspiera SSLv2, poprzednika TLS z lat 90. Zapewnianie takiego wsparcia nie ma praktycznego znaczenia, gdyż SSLv2 nie jest obsługiwane przez klientów. Dotychczas jednak sądzono, że samo wspieranie tego protokołu, o którym wiadomo, że ma liczne wady, nie stanowi problemu, gdyż nie jest on używany. Specjaliści stojący za DROWN wykazali, że samo włączenie obsługi SSLv2 zagraża zarówno serwerom jak i ich klientom. Napastnik może bowiem wykorzystać ten fakt do odszyfrowania komunikacji prowadzonej za pomocą TLS. Wystarczy, że wyśle pakiet testowy na serwer wykorzystujący SSLv2 i używający tego samego prywatnego klucza, jaki jest wykorzystywany do komunikacji TLS.
Serwer jest podatny na atak DROWN jeśli dopuszcza połączenia SSLv2 lub też jeśli jego prywatny klucz jest używany na jakimkolwiek serwerze dopuszczającym SSLv2. Wiele firm używa tych samych kluczy i certyfikatów np. na serwerach web i serwerach pocztowych. Jeśli więc serwer pocztowy dopuszcza SSLv2, a serwer web nie, to możliwe jest wykorzystanie serwera pocztowego do złamania komunikacji TLS na serwerze web.
Aby ochronić się przed atakiem właściciele serwerów powinni być pewni, że ich prywatne klucze nie są używane na żadnej maszynie zezwalającej na połączenia SSLv2.
Mariusz Błoński
Wersja do druku
Podobne tematy
Szkodliwy program Reductor przechwytuje ruch HTTPS poprzez manipulowanie generatorem „losowych” liczb przeglądarek
, 10.10.2019 r.
Microsoft stara się zablokować fałszywy certyfikat HTTPS
, 17.03.2015 r.
Synology wprowadza skalowalne serwery NAS o dużej wydajności
, 10.10.2013 r.
The Pirate Bay przeniesie swoje serwery do bezzałogowych samolotów
, 19.03.2012 r.
Prokuratorzy nie chcą, by FBI wyłączyło serwery
, 24.02.2012 r.
Serwery ARM dopiero za kilka lat
, 01.06.2011 r.Starsze
Autonomiczny samochód Google'a zderzył się z autobusem, 7:21
Sharp przyjął ofertę Foxconna, 7:20
Nowsze
Zdalne blokowanie Androida, 8:44
Algorytm podpowie fiskusowi czy trzeba Cię skontrolować, 8:47
Redakcja nie ponosi odpowiedzialności za wypowiedzi Internautów opublikowane na stronach serwisu oraz zastrzega sobie prawo do redagowania, skracania bądź usuwania komentarzy zawierających treści zabronione przez prawo, uznawane za obraźliwie lub naruszające zasady współżycia społecznego.
Brak komentarzy. Może warto dodać swój własny?
Copyright © 2002-2024 | Prywatność | Load: 1.77 | SQL: 16 | Uptime: 525 days, 21 min h:m |
Wszelkie uwagi prosimy zgłaszać pod adresem eddy@heh.pl