+7 (3513) 28-72-87
г. Миасс, пр. Октября, 24
 

Новости
Главная / Новости

Новая глобальная угроза - уязвимость DROWN.

Международная группа исследователей опубликовала информацию об уязвимости, потенциально позволяющей злоумышленникам перехватывать и подменять данные, защищённые SSL и TLS шифрованием, которое использует соединение HTTPS.

А ведь многие считают протоколы шифрования панацеей, но и в средствах защиты часто находятся "дыры", которые могут использовать злоумышленники. Обнаруженная уязвимость касается ресурсов, использующих популярнейший протокол HTTPS, подвергающая опасности миллионы веб-сайтов и почтовых сервисов. С помощью найденной бреши в безопасности можно провести атаку (которая получила имя DROWN, от Decrypting RSA with Obsolete and Weakened eNcryption) с низкой стоимостью, которая расшифровывает сообщения всего за несколько часов (SSLv2), в некоторых случаях это время даже сокращается до нескольких минут (SSL и TLS). Затем злоумышленники могут перехватывать и видоизменять защищенный HTTPS-трафик.

Работает предложенная атака против коммуникаций с защитой TLS, использующих криптосистему RSA и позволяет атакующему расшифровать TLS-соединение с помощью повторяющихся попыток соединения с сервером по устаревшему протоколу SSLv2 (протокол шифрования от Netscape, вышедший в 1995 году и потерявший актуальность уже в 1996, был официально признан устаревшим ещё в 2011 году) . Злоумышленник, в ходе этого процесса, по крупицам собирает информацию о ключе шифрования. И, хотя эксперты по безопасности полагали, что исключение поддержки SSLv2 из браузеров и почтовых клиентов позволит избежать подобных ситуаций, некоторые не надлежащим образом сконфигурированные реализации TLS оставляют лазейку для взломщиков (самая известная уязвимая реализация - криптографическая библиотека OpenSSL). В стандартных настройках поддержка SSLv2 отключена, но администраторы иногда неосознанно активируют её для оптимизации таких приложений, как Apache, Postfix, Nginx или Sendmail.

Более-менее известно, что около 6 млн веб-серверов непосредственно используют SSLv2. Кроме того, примерно 1 млн e-mail-серверов с TLS-защитой также поддерживают небезопасный протокол. И всё это несмотря на настоятельные рекомендации специалистов отключать SSLv2. Даже если сам сервер не поддерживает SSLv2, но пара асимметричных ключей используется на любом другом сервере, который поддерживает SSLv2, то атака возможна. Также были выпущены обновления библиотеки OpenSSL 1.0.1s и 1.0.2g, устраняющие уязвимость.

Многие аналитики ставят данную уязвимость в один ряд с такими масштабными угрозами последнего времени как HEARTBLEED и POODLE.

Проверить, подвержен ли сервер DROWN-атаке, можно на посвящённом уязвимости официальном сайте test.drownattack.com.


3 марта 2016
© 2003-2013, Урал-Компьютер-Сервис