Nur wenn die Dinge wurde ruhig um den berüchtigten Heartbleed Bug, eine neue Sicherheitslücke kommt herum und beißt uns. Die Frage ist sicherlich, wie verletzend der Biss ist.
Gut, ziemlich viel. Laut Sicherheitsexperten, ERTRINKEN, die neue Sicherheitslücke in Frage, wirkt sich ein Drittel der HTTPS-Websites, oder annähernd 33% von Servern. Es wurde als ‚neuartiger Quer Protokoll Angriff‘ durch die Gruppe von Forschern beschrieben, die offenbart,. Auch wenn die Zahl nicht so groß ist, wenn auf den Schaden durch Heartbleed getan im Vergleich, es ist immer noch ein lästiger ein.
Lerne mehr über Der Heartbleed Bug
Die DROWN Vulnerability Explained: CVE-2016-0800
Das allererste, was zu erwähnen ist, dass der DROWN Angriff als CVE-2016-0800 identifiziert. dieser Artikel Zu der Zeit wird geschrieben, keine offizielle Beschreibung ist auf cve.mitre.org verfügbar.
DROWN ist in der Tat eine Sicherheitslücke in OpenSSL, die Kompromisse Server SSLv2 mit. Ein Angriff die Verwundbarkeit ausnutzt endet mit der Entschlüsselung der Webseite des HTTPS-Kommunikation und den Diebstahl der verschlüsselten Daten bis.
Was bedeutet DROWN bedeuten?
Die Abkürzung steht für Entschlüsseln RSA Veraltet und Geschwächte Verschlüsselung. Es wurde identifiziert durch ein Team von 15 Sicherheitsexperten von mehreren Universitäten.
Warum wird von Angreifern Eingesetzte DROWN?
Denn es kann jede Kommunikation zwischen den Benutzern und den Server abfangen und zu stehlen sensible Daten auf dem Weg. Was bedeutet das? Benutzernamen, Passwörter, Kreditkartennummern, E-Mails, alle Arten von Dokumenten, Instant Messages können gestohlen werden. Ein weiteres Ergebnis eines DROWN Angriff Angreifer Identitätswechsel eine sichere (HTTPS) Website und Ändern des Inhalts dem Benutzer angezeigt.
Andere Exploits zu halten weg von: Heiße Kartoffel
Welche Websites sind anfällig für einen Angriff DROWN?
Die Liste der gefährdeten Websites https://drownattack.com/top-sites.html ist ziemlich groß. Hunderte von Domains von Alexa Top 10,000 wurden anfällig für MitM als (Man-in-the-Middle-) Angriffe kurz vor dem DROWN Angriff wurde der Öffentlichkeit am März offenbart 1. Um es zusammenzufassen, Webseiten, Mail-Server, und TLS-abhängige Dienste sind anfällig für einen Angriff DROWN. Leider, viele populäre Websites, bei denen die Gefahr der Verwundbarkeit, einschließlich Yahoo, Alibaba, Flickr, sowie Websites der populären Anbieter von Sicherheitssoftware.
Kann Ihre Website werden DROWN-ed?
Ein DROWN Angriff basiert auf TLS (Transport Layer Security). TLS ist ein Protokoll, das besser als SSL betrachtet (Secure Sockets Layer). Jedoch, sowohl TLS und SSL verwenden den gleichen RSA-verschlüsselten Sitzungsschlüssel, der die HTTPS-Verbindung erzeugt.
Was bedeutet all das Mittel?
Server nach wie vor mit SSLv2 und TLS ist gleichzeitig anfällig für die Exploit, so stellen Sie sicher, SSLv2 zu deaktivieren. Jedoch, ein zusätzlicher Server-Setup konnte Websites auf die Verletzlichkeit aussetzen, auch in den Fällen, wenn nur die Website beschäftigt TLS.
Hier ist, was Forscher sagen,:
Sie sind nur so viel gefährdet, wenn Ihre Website-Zertifikat oder einen Schlüssel anderswo, die Unterstützung SSLv2 tut auf einem Server verwendet wird,. Gängige Beispiele sind SMTP, IMAP, und POP-Mail-Server, und Sekundär-HTTPS-Server für bestimmte Web-Anwendungen verwendet.
Eine weitere große Gefahr kommt aus dem ‚Recycling‘ von RSA-Schlüsseln, da die Wiederverwendung Server anfällig für solche Angriffe macht. Beispielsweise, Ihre Website ist in Gefahr, wenn die Admins das SSLv2 Protokoll entfernt, aber nicht das TLS-Protokoll mit neuem RSA-Schlüssel sichern.
Lesen Sie mehr Das Alarmierende Wiederverwendung von RSA Keys
Um sicherzustellen, dass Ihre Website ist nicht anfällig für den Angriff DROWN, verwenden Sie die DROWN checker.