DROWN ευάλωτες οι συνδέσεις HTTPS

Το OpenSSL project μόλις κυκλοφόρησε τις ενημερωμένες εκδόσεις 1.0.2g και 1.0.1s για να αντιμετωπίσει ένα ζήτημα ασφαλείας υψηλής σοβαρότητας. Η ευπάθεια επιτρέπει επιθέσεις (CVE-2016 – 0800). Η επίθεση επιτρέπει στους επιτιθέμενους να παρακάμψουν ασφαλείς συνδέσεις HTTPS και να υποκλέψουν κρυπτογραφημένες πληροφορίες.lock https DROWN

Το DROWN είναι συντομογραφία του “Decrypting RSA using Obsolete and Weakened eNcryption” ή “Αποκρυπτογράφηση RSA χρησιμοποιώντας πεπαλαιωμένες και αποδυναμωμένες κρυπτογραφήσεις” και ανακαλύφθηκε από μια ομάδα 15 ερευνητών από διάφορα πανεπιστήμια της INFOSEC κοινότητας.

Η αρχή πίσω από την επίθεση DROWN βασίζεται στην παρουσία και των δύο πρωτοκόλλων SSLv2 και TLS στις μηχανές στόχο. Είναι μια επίθεση και για τα δύο πρωτόκολλα, κάτι που σημαίνει ότι θα χρησιμοποιήσει τις αδυναμίες της ς SSLv2 κατά της TLS.

Η αδυναμία προέρχεται από την επίθεση Bleichenbacher στην RSA, ένα σύστημα κρυπτογράφησης που ται από την SSL αλλά και από την TLS. Πριν υπάρξει μια κρυπτογραφημένη σύνδεση, ο πελάτης θα πρέπει να επιλέξει ένα τυχαίο κλειδί συνόδου που κρυπτογραφείται μέσω RSA και αποστέλλεται στο διακομιστή, ο οποίος στη συνέχεια επικυρώνει τον πελάτη και ξεκινά τη σύνδεση HTTPS.

Η επίθεση Bleichenbacher, ανακαλύφθηκε στα τέλη της δεκαετίας του ’90. Χρησιμοποιεί έναν τρόπο για να λάβει το πρωτότυπο κλειδί RSA που βασίζεται μόνο σε μια απάντηση του διακομιστή “ναι” ή “όχι” στην ερώτηση “είναι αυτό το κλειδί συνόδου RSA;”

Οι ερευνητές πίσω από την επίθεση DROWN ανακάλυψαν νέους τρόπους χρήσης της επίθεσης Bleichenbacher, αξιοποιώντας τις διορθώσεις και προσθήκες της SSLv2.

Η επίθεση λειτουργεί και για συνδέσεις TLS, ένα πρωτόκολλο θεωρείται ότι είναι ανώτερο από την SSL. Όμως ανεξάρτητα από τις διαφορές μεταξύ τους, και τα δύο πρωτόκολλα χρησιμοποιούν το ίδιο κλειδί κρυπτογράφησης συνόδου RSA για να δημιουργήσουν μια σύνδεση HTTPS.

Ποιοι κινδυνεύουν;

Μόνο οι servers που εξακολουθούν να χρησιμοποιούν SSLv2 και TLS ταυτόχρονα, είναι ευάλωτοι στην ευπάθεια. Έτσι η απενεργοποίηση SSLv2 στο διακομιστή σας θα πρέπει να είναι το πρώτο που πρέπει να κάνετε.

Επιπλέον, οι ερευνητές προειδοποιούν για μια συγκεκριμένη ρύθμιση διακομιστή που θα μπορούσε να εκθέσει τα συστήματα στην ευπάθεια, ακόμη και αν η κύρια ιστοσελίδα χρησιμοποιεί μόνο TLS.

“Κινδυνεύετε επίσης, εάν το πιστοποιητικό ή κάποιο κλειδί από το site σας χρησιμοποιείται και κάπου αλλού σε ένα διακομιστή που δεν υποστηρίζει SSLv2”, αναφέρουν οι ερευνητές.

“Κοινά παραδείγματα περιλαμβάνουν τα πρωτόκολλα SMTP, IMAP, τους διακομιστές αλληλογραφίας POP, αλλά και του δευτερεύοντος διακομιστή HTTPS που χρησιμοποιείται για συγκεκριμένες web .”

Να αναφέρουμε ότι η Canonical προς της, έχει ενημερώσει ήδη το λειτουργικό Ubuntu.

iGuRu.gr The Best Technology Site in Greeceggns

Get the best viral stories straight into your inbox!















giorgos

Written by giorgos

Ο Γιώργος ακόμα αναρωτιέται τι κάνει εδώ....

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *

Το μήνυμα σας δεν θα δημοσιευτεί εάν:
1. Περιέχει υβριστικά, συκοφαντικά, ρατσιστικά, προσβλητικά ή ανάρμοστα σχόλια.
2. Προκαλεί βλάβη σε ανηλίκους.
3. Παρενοχλεί την ιδιωτική ζωή και τα ατομικά και κοινωνικά δικαιώματα άλλων χρηστών.
4. Διαφημίζει προϊόντα ή υπηρεσίες ή διαδικτυακούς τόπους .
5. Περιέχει προσωπικές πληροφορίες (διεύθυνση, τηλέφωνο κλπ).