Τρίτη, 21 Ιουλίου, 22:13
Αρχική security Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Περισσότερες από 11 εκατομμύρια HTTPS ιστοσελίδες κινδυνεύουν από νέα Drown επίθεση

Μετά τη θανάσιμη ευπάθεια Heartbleed που συγκλόνισε τον κόσμο το περασμένο έτος, μια άλλη κρίσιμη ευπάθεια ψάχνει τρόπους για να δημιουργήσει παρόμοιες ανησυχίες. Ένα πρόσφατα ανακαλυφθέν κενό ασφαλείας OpenSSL ενεργοποιεί ένα απαρχαιωμένο πρωτόκολλο ασφαλείας, Secure Sockets Layer (SSLv2), για να χρησιμοποιηθεί σε επιθέσεις σύγχρονων ιστοσελίδων.

Drown Attack θέτει εκατομμύρια OpenSSL HTTPS ιστοσελίδες σε κίνδυνο

Οι αναγνώστες θα πρέπει να κατανοήσουν τη σοβαρότητα αυτής ευπάθειας, καθώς όλες σχεδόν οι τράπεζες, τα χρηματοπιστωτικά ιδρύματα και άλλες ιστοσελίδες που συλλέγουν προσωπικά αναγνωρίσιμες πληροφορίες (PII) χρησιμοποιούν HTTPS για ασφαλή επικοινωνία μεταξύ του χρήστη και του web διακομιστή.

Η επίθεση που εκμεταλλεύεται αυτή την ευπάθεια, που ονομάζεται DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), εκτιμάται ότι θα είναι σε θέση να σκοτώσει τουλάχιστον το ένα τρίτο του συνόλου των HTTPS servers. Οι ερευνητές που ανακάλυψαν το ελάττωμα δήλωσαν ότι τουλάχιστον 11,5 εκατομμύρια ιστοσελίδες που χρησιμοποιούν το HTTPS πρωτόκολλο μπορεί να είναι σε κίνδυνο από την επίθεση Drown.

Η Drown επίθεση αποκαλύφθηκε από ακαδημαϊκούς ερευνητές από το Τμήμα Ηλεκτρολόγων Μηχανικών, Tel Aviv University, Münster University of Applied Sciences, Horst Görtz Institute for IT security, Ruhr University Bochum, University of Pennsylvania, Hashcat Project, University of Michigan, Two Sigma/OpenSSL, Google/OpenSSL.

Οι ερευνητές δήλωσαν: «Είμαστε ήδη σε θέση να εκτελέσουμε την επίθεση εναντίον OpenSSL εκδόσεων που είναι ευάλωτες στην CVE-2016-0703 σε λιγότερο από ένα λεπτό, χρησιμοποιώντας έναν μόνο υπολογιστή. Ακόμη και για διακομιστές που δεν έχουν αυτά τα συγκεκριμένα bugs, ο γενικός δείκτης της επίθεσης, η οποία λειτουργεί εναντίον οποιουδήποτε διακομιστή SSLv2, μπορεί να διεξαχθεί σε λιγότερο από 8 ώρες, με συνολικό κόστος $440.»

Όσο για σήμερα, μερικές από τις κορυφαίες ιστοσελίδες που αναφέρονται στο Alexa είναι ευάλωτες σε man-in-the-middle επιθέσεις με βάση την Drown, συμπεριλαμβανομένων των Yahoo, Sina και Alibaba. Ακόμη και η πρώτη κρατική τράπεζα, Bank of India, της Ινδίας, είναι ευάλωτη στην CVE-2016-0703 (MITM επίθεση), η οποία επιτρέπει σε δυνητικούς χάκερ να αποκρυπτογραφήσουν την ηχογραφημένη κυκλοφορία και να κλέψουν δεδομένα.DROWN-attack

Οι ερευνητές είπαν ότι οι παρωχημένες Microsoft Internet Information Services (IIS) εκδόσεις 7 και πιο πριν είναι ευάλωτες και οι εκδόσεις των Υπηρεσιών Δικτύου Ασφάλειας (NSS), μια κοινή κρυπτογραφική βιβλιοθήκη ενσωματωμένη σε πολλά προϊόντα διακομιστή, πριν από την 3.13 έκδοση του 2012, είναι επίσης ανοικτές στην επίθεση.

Μπορείτε να μάθετε αν το site σας είναι ευάλωτο χρησιμοποιώντας το DROWN attack test site.

Σε κάθε περίπτωση, αν χρησιμοποιείτε το OpenSSL για ασφάλεια, τώρα ήρθε η ώρα να κάνετε αναβάθμιση στο 1.0.2g. Οι OpenSSL 1.0.1 χρήστες θα πρέπει, επίσης, να αναβαθμίσουν στην 1.0.1s έκδοση.

ΑΦΗΣΤΕ ΜΙΑ ΑΠΑΝΤΗΣΗ

Please enter your comment!
Please enter your name here

LIVE NEWS

Διέρρευσαν 150.000 δεδομένα χρηστών του site Fut Fantastico

Όπως ανακάλυψε η εταιρεία ασφαλείας WizCase, ένας λανθασμένα διαμορφωμένος Amazon S3 server, εξέθεσε δεδομένα του ποδοσφαιρικού ιστότοπου Fut Fantastico. Τα δεδομένα περιλάμβαναν...

Linux Foundation: Θα βοηθήσει στην καταπολέμηση του COVID-19

Τον τελευταίο καιρό, λόγο της παγκόσμιας πανδημίας, πολλές εταιρίες έχουν ενωθεί στη δημιουργία διάφορων εφαρμογών ανοικτού κώδικα,...

Διέρρευσαν τα αρχεία καταγραφής παρόχων VPN

Τα VPN είναι πολύ γνωστά, επειδή υποτίθεται ότι ενισχύουν το απόρρητό σας και εμποδίζουν την παρακολούθηση σας. Στην πραγματικότητα,...

Το Ηνωμένο Βασίλειο θεωρεί τη Ρωσία απειλή για την εθνική του ασφάλεια!

Η Επιτροπή Πληροφοριών και Ασφάλειας του Κοινοβουλίου του Ηνωμένου Βασιλείου (ISC) ανέφερε σε έκθεσή της πως οι δυνατότητες της Ρωσίας να πραγματοποιεί...

To Delivery Robot της Amazon σιγά σιγά εξαπλώνεται!

H Amazon αποκάλυψε το «delivery robot» της, Scout, τον Ιανουάριο του 2019, αλλά επεκτείνεται με αργούς ρυθμούς τα τελευταία χρόνια.

Ποια είναι η διαφορά μεταξύ Ransomware και Malware;

Στην εποχή μας οι διαδικτυακές επιθέσεις είναι κάτι κοινό και συνηθισμένο και υπάρχουν διαφορετικοί τύποι κακόβουλου λογισμικού, που μπορούν να μολύνουν ένα...
00:02:12

Ο Zuckerberg διαψεύδει τις φήμες περί συμφωνίας με τον Donald Trump

Ο διευθύνων σύμβουλος του Facebook Mark Zuckerberg έκανε μια μυστική συμφωνία με τον Πρόεδρο Donald Trump, κλείνοντας τα μάτια στα ψέματα και...

10-χρονη από τη Νιγηρία γίνεται δασκάλα κωδικοποίησης

Σχολείο του Ηνωμένου Βασιλείου προσέλαβε 10-χρονη από τη Νιγηρία, με απίστευτες γνώσεις στην τεχνολογία, ως δασκάλα κωδικοποίησης.

E-learning πλατφόρμες διέρρευσαν online data εκατομμυρίων χρηστών!

Οι ερευνητές ασφαλείας της WizCase ανακάλυψαν μη προστατευμένα databases που ανήκουν σε διάφορες e-learning πλατφόρμες, οι οποίες εκτέθηκαν online χωρίς την προστασία...

WA Health: 15χρονος hacker πίσω από τη διαρροή ιατρικών δεδομένων

Ο πρωθυπουργός της Δυτικής Αυστραλίας Mark McGowan λέει ότι ένας 15χρονος hacker φέρεται να εμπλέκεται στην παραβίαση...