L'attacco Drown, o come intercettare le comunicazioni HTTPS - Come, Tecnologia e Security Forum PC | SensorsTechForum.com
CYBER NEWS

L'attacco Drown, o come intercettare le comunicazioni HTTPS

1 Star2 Stars3 Stars4 Stars5 Stars (Ancora nessuna valutazione)
Loading ...

Proprio quando le cose sono tranquillo intorno al famigerato bug heartbleed, una nuova vulnerabilità viene intorno e ci morde. La domanda è sicuramente il modo doloroso il morso è.

Bene, Parecchio. Secondo i ricercatori di sicurezza, ANNEGARE, la nuova vulnerabilità in questione, colpisce un terzo dei siti web HTTPS, o approssimativamente 33% di server. E 'stato descritto come un' attacco di protocollo croce romanzo 'da parte del gruppo di ricercatori che hanno fornito le informazioni. Anche se il numero non è così grande rispetto al danno fatto da heartbleed, è ancora uno fastidioso.

Impara di più riguardo The Bug heartbleed

La vulnerabilità annegare Explained: CVE-2016-0800

La prima cosa da ricordare è che l'attacco annegare è identificato come CVE-2016-0800. Al momento è stato scritto questo articolo, Descrizione non ufficiale è disponibile sul cve.mitre.org.

Annegare è infatti una vulnerabilità in OpenSSL che compromette server tramite SSLv2. Un attacco sfruttando la vulnerabilità finisce con la decrittazione delle comunicazioni HTTPS del sito e il furto dei dati criptati.

Cosa vuol dire annegare?

L'acronimo sta per Decifrare RSA utilizzando la crittografia obsoleto e indebolito. È stato identificato da un team di 15 esperti di sicurezza da diverse università.

Perché è annegare messo in atto da aggressori?

Perché può intercettare qualsiasi comunicazione tra gli utenti e il server e rubare dati sensibili sulla strada. Che cosa significa questo? Nomi utente, password, numeri di carta di credito, e-mail, tutti i tipi di documenti, messaggi istantanei possono essere rubati. Un altro risultato di un attacco di annegare è attaccanti impersonando un sicuro (HTTPS) sito web e modificando il contenuto visualizzato per l'utente.

Altri exploit per tenere lontano da: Patata bollente

Quali siti sono vulnerabili a un attacco di annegare?

L'elenco dei siti web vulnerabili https://drownattack.com/top-sites.html è abbastanza grande. Centinaia di domini da Alexa Top 10,000 sono stati ritenuti vulnerabili al MitM (man-in-the-middle) attacchi poco prima dell'attacco Drown è stato comunicato al pubblico il marzo 1. Per riassumere, siti web, server di posta, oltre a servizi di TLS-dipendenti sono inclini a un attacco di annegare. Sfortunatamente, molti siti popolari sono a rischio di vulnerabilità, tra cui Yahoo, Alibaba, Flickr, più siti web di vendor di sicurezza popolari.

il tuo sito web può essere annegare-ed?

Un attacco di annegare si basa su TLS (Transport Layer Security). TLS è un protocollo che è considerato migliore di SSL (Secure Sockets Layer). Tuttavia, sia TLS e SSL utilizzano la stessa chiave di sessione RSA crittografato che genera la connessione HTTPS.

Cosa significa tutto questo?

I server che utilizzano ancora SSLv2 e TLS contemporaneamente sono inclini a l'exploit, in modo da assicurarsi di disattivare SSLv2. Tuttavia, una configurazione server aggiuntivo potrebbe esporre siti web per la vulnerabilità, anche nei casi in cui il sito impiega solo TLS.

Ecco cosa dicono i ricercatori:

Sei solo il più a rischio se il certificato o la chiave del tuo sito è utilizzato in qualsiasi altro luogo su un server che fa supporto SSLv2. Alcuni esempi includono SMTP, IMAP, e server di posta POP, e server HTTPS secondari utilizzati per applicazioni web specifiche.

Un altro grande pericolo viene dal 'riciclaggio' di chiavi RSA perché il riutilizzo rende i server suscettibili a tali attacchi. Per esempio, il vostro sito web è a rischio, se gli amministratori hanno rimosso il protocollo di SSLv2, ma non assicurano il protocollo TLS con nuove chiavi RSA.

Ulteriori informazioni su L'allarmante riutilizzo di chiavi RSA

Per assicurarsi che il sito non è incline all'attacco annegare, Usa il checker Drown.

Avatar

Milena Dimitrova

Uno scrittore ispirato e gestore di contenuti che è stato con SensorsTechForum per 4 anni. Gode ​​di ‘Mr. Robot’e le paure‘1984’. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli!

Altri messaggi

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Termine è esaurito. Ricarica CAPTCHA.

Condividi su Facebook Quota
Loading ...
Condividi su Twitter Tweet
Loading ...
Condividi su Google Plus Quota
Loading ...
Condividi su Linkedin Quota
Loading ...
Condividi su Digg Quota
Condividi su Reddit Quota
Loading ...
Condividi su Stumbleupon Quota
Loading ...