DROWN ευάλωτες οι συνδέσεις HTTPS

Το OpenSSL project μόλις κυκλοφόρησε τις ενημερωμένες εκδόσεις 1.0.2g και 1.0.1s για να αντιμετωπίσει ένα ζήτημα υψηλής σοβαρότητας. Η ευπάθεια επιτρέπει επιθέσεις DROWN (CVE-2016 – 0800). Η επιτρέπει στους επιτιθέμενους να παρακάμψουν ασφαλείς συνδέσεις HTTPS και να υποκλέψουν κρυπτογραφημένες πληροφορίες.lock https DROWN

Το DROWN είναι συντομογραφία του “Decrypting RSA using Obsolete and Weakened eNcryption” ή “Αποκρυπτογράφηση RSA χρησιμοποιώντας πεπαλαιωμένες και αποδυναμωμένες κρυπτογραφήσεις” και ανακαλύφθηκε από μια ομάδα 15 ερευνητών από διάφορα πανεπιστήμια της INFOSEC κοινότητας.

Η αρχή πίσω από την επίθεση DROWN βασίζεται στην παρουσία και των δύο πρωτοκόλλων SSLv2 και TLS στις μηχανές στόχο. Είναι μια επίθεση και για τα δύο πρωτόκολλα, κάτι που σημαίνει ότι θα χρησιμοποιήσει τις αδυναμίες της εφαρμογής SSLv2 κατά της TLS.

Η αδυναμία προέρχεται από την επίθεση Bleichenbacher στην RSA, ένα σύστημα κρυπτογράφησης που χρησιμοποιείται από την SSL αλλά και από την TLS. Πριν υπάρξει μια κρυπτογραφημένη , ο πελάτης θα πρέπει να επιλέξει ένα τυχαίο κλειδί συνόδου που κρυπτογραφείται μέσω RSA και αποστέλλεται στο διακομιστή, ο οποίος στη συνέχεια επικυρώνει τον πελάτη και ξεκινά τη σύνδεση HTTPS.

Η επίθεση Bleichenbacher, ανακαλύφθηκε στα τέλη της δεκαετίας του '90. Χρησιμοποιεί έναν τρόπο για να λάβει το πρωτότυπο κλειδί RSA που βασίζεται μόνο σε μια απάντηση του διακομιστή “ναι” ή “όχι” στην ερώτηση “είναι αυτό το κλειδί συνόδου RSA;”

Οι ερευνητές πίσω από την επίθεση DROWN ανακάλυψαν νέους τρόπους χρήσης της επίθεσης Bleichenbacher, αξιοποιώντας τις διορθώσεις και προσθήκες της SSLv2.

Η επίθεση λειτουργεί και για συνδέσεις TLS, ένα θεωρείται ότι είναι ανώτερο από την SSL. Όμως ανεξάρτητα από τις διαφορές μεταξύ τους, και τα δύο πρωτόκολλα χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης συνόδου RSA για να δημιουργήσουν μια σύνδεση HTTPS.

Ποιοι κινδυνεύουν;

Μόνο οι servers που εξακολουθούν να χρησιμοποιούν SSLv2 και TLS ταυτόχρονα, είναι ευάλωτοι στην ευπάθεια. Έτσι η απενεργοποίηση SSLv2 στο διακομιστή σας θα πρέπει να είναι το πρώτο που πρέπει να κάνετε.

Επιπλέον, οι ερευνητές προειδοποιούν για μια συγκεκριμένη ρύθμιση διακομιστή που θα μπορούσε να εκθέσει τα συστήματα στην ευπάθεια, ακόμη και αν η κύρια ιστο χρησιμοποιεί μόνο TLS.

“Κινδυνεύετε επίσης, εάν το ή κάποιο κλειδί από το site σας χρησιμοποιείται και κάπου αλλού σε ένα διακομιστή που δεν υποστηρίζει SSLv2”, αναφέρουν οι ερευνητές.

“Κοινά παραδείγματα περιλαμβάνουν τα πρωτόκολλα SMTP, IMAP, τους διακομιστές αλληλογραφίας POP, αλλά και του δευτερεύοντος διακομιστή HTTPS που χρησιμοποιείται για συγκεκριμένες web εφαρμογές.”

Να αναφέρουμε ότι η Canonical προς τιμή της, έχει ενημερώσει ήδη το λειτουργικό Ubuntu.

iGuRu.gr The Best Technology Site in Greecefgns

κάθε δημοσίευση, άμεσα στο inbox σας

Προστεθείτε στους 2.100 εγγεγραμμένους.

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).