mboost-dp1

drownattack.com

En tredjedel af alle HTTPS-websites er sårbare overfor DROWN angreb

- , indsendt af _tweak

It-sikkerhedseksperter har fundet en måde, hvorpå hver tredje af alle hjemmesider med HTTPS kan kompromitteres. Metoden kaldes DROWNDecrypting RSA with Obsolete and Weakened eNcryption og kan i styrke sammenlignes med Heartbleed-angrebene fra april 2014.

En version af angrebet udnytter protokol-svagheder ved SSLv2, der indtil nu har været ukendte. Her skal hackeren observere 1000 TLS handshakes, derefter igangsætte 40.000 SSLv2 forbindelser og dekryptere en 2048-bit RSA-nøgle. Dette er allerede blevet udført vha. Amazon EC2 server, hvor hele herligheden kostede 440 dollars i leje for dekrypteringen.

Billigere angreb kan også lade sig gøre ved at anvende teknikken i sammenhæng med en sårbarhed i OpenSSL, der var tilstede i udgaver (releases) fra 1998 til 2015. Dette gøres så hurtigt, at det er muligt for hackere at udføre man-in-the-middle angreb mod moderne browsere.

OpenSSL er dog kommet med opdateringer – OpenSSL version 1.0.2g og 1.0.1s.

Reseachernes undersøgelse af internettet viser, at 38 procent af all HTTPS server (og 22 procent af dem med browser-trust certifikater) er sårbare for angrebsmetoden.





Gå til bund
Gravatar #1 - inckie
2. mar. 2016 16:32
Jeg har faktisk selv lige konfiguret et Nginx som SSL terminerings punkt

Jeg kan klart anbefale denne side: https://raymii.org/s/tutorials/Strong_SSL_Security... som gennemgår rigtig mange af de forskellige svagheder, og hvordan man arbejder uden om dem i Nginx.

https://www.ssllabs.com/ssltest/analyze.html er og så et godt værktøj til at teste sin installation.
Gravatar #2 - Mistah
3. mar. 2016 11:30
Hvem pokker understøtter da også SSLv2 den dag i dag? Det har jo været mere eller mindre usikkert siden 2011?
Der er ikke den store nyhed i denne her sag.
Der blev rapporteret over 15.000 sårbarheder i 2015, og sikkert endnu flere i 2016.
Men fordi den bliver givet et navn, så springer medierne på uden at tænke sig en lille smule om.

Ingen sysadmin med respect for sig selv, ville have en server i 2016, der understøtter SSLv2. End of story!
Gravatar #3 - HenrikH
3. mar. 2016 11:50
#2: Alle de offentlige service-ting som afhænger af IE6 og SSLv1 for at man kan udnytte sikkerhedshullerne til bestemt funktionalitet i de forskellige services?
Gravatar #4 - Nize
3. mar. 2016 15:35
Og det at de virksomheder der bruger et *-certifikat, er sårbare på alle de tjenester der brugere certifikatet, hvis bare én eneste af deres tilgængelige servere kører SSLv2, selvom alle de andre servere er toptunet-giga-sikrede. Det er den store nyhed her; du kan ikke have én server der er sårbar, så er alle de andre også ...
Gå til top

Opret dig som bruger i dag

Det er gratis, og du binder dig ikke til noget.

Når du er oprettet som bruger, får du adgang til en lang række af sidens andre muligheder, såsom at udforme siden efter eget ønske og deltage i diskussionerne.

Opret Bruger Login