Știri despre securitate, dezvăluiri și puncte de vedere ale experților ESET

O treime din site-urile HTTPS sunt vulnerabile în fața atacurilor DROWN

2016-03-10

O nouă amenințare poate lăsa vulnerabile în fața decriptării mai mult de o treime din site-urile HTTPS, însemnând că date sensibile precum numele de utilizator, parolele și numerele cardurilor de credit pot fi în pericol.

Această amenințare a fost denumită DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) și afectează serverele care folosesc certificarea SSLv2. Cei care se ocupă de cercetarea fenomenului DROWN afirmă că până la 33% dintre site-urile afectate reprezintă 25% din primele un milion de domenii.

Conform Next Web, site-urile vulnerabile în acest moment includ Yahoo, BuzzFeed, Flickr și Samsung.

SSLv2 a fost disponibil din anii ’90 și este cunoscut ca fiind vulnerabil, de aceea servele folosesc acum un alt protocol. Totuși, s-a ajuns la concluzia că folosirea SSLv2 reprezintă o amenințare pentru servele moderne și clienți.

Site-ul DROWN demonstrează slăbirea criptării făcute de guvernul Statelor Unite din ultimii ani, rezultând al treilea pericol major al securității internetului într-un singur an, precedând FREAK și Logjam.

Pentru a afla dacă domeniul sau IP-ul tău este în pericol, a fost publicat un instrument pe website-ul DROWN.

Dacă este găsit vulnerabil, este de preferat ca deținătorii serverelor să ia atitudine imediat pentru a preveni un eventual atac.

“Pentru a vă proteja împotriva DROWN, operatorii de server trebuie să se asigure că datele private nu sunt folosite în alt loc în software-ul serverului care permite conecțiunea SSLv2”, relatează secțiunea FAQ pe site-ul DROWN. “Aici sunt incluse serverele web SMTP, IMAP și POP și oricare alte programe software care suportă SSL/TLS.”

Deși nu există niciun motiv pentru a suspecta că infractorii cibernetici au exploatat vulnerabilitatea înainte de recenta dezvăluire, acum că detaliile sunt publice, este important să se ia aceste măsuri de contracarare.

 

KYLE ELLISON
CORESPONDENT INDEPENDENT