De Drown Attack, of Gesprekken onderscheppen HTTPS Communications - Hoe, Technologie en PC Security Forum | SensorsTechForum.com
CYBER NEWS

De Drown Attack, of Gesprekken onderscheppen HTTPS Communications

1 Star2 Stars3 Stars4 Stars5 Stars (Nog geen beoordeling)
Loading ...

Net toen de dingen stil rondom de beruchte heartbleed bug, een nieuwe kwetsbaarheid komt rond en bijt ons. De vraag is zeker hoe kwetsend de beet is.

Goed, nog al veel. Volgens security onderzoekers, VERDRINKEN, de nieuwe kwetsbaarheid in kwestie, invloed op een derde van HTTPS websites, of ongeveer 33% servers. Het is beschreven als een 'nieuw kruis protocol aanval' van de groep van onderzoekers die de gegevens hebben verstrekt. Hoewel het aantal is niet zo groot in vergelijking met de schade door heartbleed, het is nog steeds een lastige één.

Leer meer over De heartbleed Bug

De Drown Vulnerability Explained: CVE-2016-0800

Het allereerste ding om te vermelden is dat de verdrinken aanval wordt geïdentificeerd als CVE-2016-0800. Op het moment dat dit artikel wordt geschreven, geen officiële beschrijving is beschikbaar cve.mitre.org.

Drown is inderdaad een kwetsbaarheid in OpenSSL die servers met SSLv2 compromissen. Een aanval misbruik van dit lek eindigt met de decodering van HTTPS-communicatie van de website en de diefstal van de versleutelde data.

Wat betekent Drown betekenen?

De afkorting staat voor Decoderen van RSA met behulp van verouderde en verzwakte encryptie. Het werd geïdentificeerd door een team van 15 security experts van verschillende universiteiten.

Waarom is Drown Ingezet door aanvallers?

Omdat het enige communicatie tussen gebruikers en de server kunnen onderscheppen en stelen van gevoelige gegevens op de weg. Wat betekent dit? gebruikersnamen, wachtwoorden, creditcardnummers, e-mails, allerlei soorten documenten, instant messages kunnen worden gestolen. Een andere uitkomst van een verdrinken aanval is aanvallers zich voordoen als een veilig (HTTPS) website en veranderen van de inhoud aan de gebruiker.

Andere Exploits te houden Away From: Hete aardappel

Welke sites zijn kwetsbaar voor een aanval verdrinken?

De lijst van kwetsbare websites https://drownattack.com/top-sites.html is vrij groot. Honderden domeinen Alexa Top 10,000 zijn kwetsbaar beschouwd MitM (man-in-the-middle) aanvallen vlak voor de verdrinken aanval is op maart aan het publiek bekendgemaakt 1. Samengevat, websites, mailservers, plus TLS-afhankelijke services zijn gevoelig voor een aanval verdrinken. Helaas, veel populaire sites zijn op risico van de kwetsbaarheid, waaronder Yahoo, Alibaba, Flickr, plus websites van de populaire security vendors.

Kan uw website worden verdrinken-ed?

Een verdrinken aanval is gebaseerd op TLS (Transport Layer Security). TLS is een protocol dat beter wordt beschouwd dan SSL (Secure Sockets Layer). Echter, zowel TLS en SSL gebruiken dezelfde RSA-versleutelde sessie sleutel die de HTTPS-verbinding genereert.

Wat doet dat allemaal betekenen?

Servers nog steeds met behulp SSLv2 en TLS tegelijkertijd zijn gevoelig voor de exploit, dus zorg ervoor dat SSLv2 uitschakelen. Echter, een extra server setup kon websites bloot te stellen aan de kwetsbaarheid, zelfs in gevallen waarin de website telt alleen TLS.

Hier is wat onderzoekers zeggen:

Je bent net zo veel risico als het certificaat of sleutel van uw site ergens anders wordt gebruikt op een server die ondersteunt SSLv2. Bekende voorbeelden zijn SMTP, IMAP, en POP-mailservers, en secundaire HTTPS-servers die worden gebruikt voor specifieke webapplicaties.

Een ander groot gevaar komt van de 'recycling' van RSA-sleutels, omdat het hergebruik maakt servers gevoelig voor dergelijke aanvallen. Bijvoorbeeld, uw website is in gevaar, als de admins verwijderde de SSLv2 protocol, maar niet veilig het TLS-protocol met de nieuwe RSA-sleutels.

Lees meer over De Alarmerende Hergebruik van RSA-sleutels

Om ervoor te zorgen dat uw website is niet gevoelig voor het verdrinken aanval, gebruik de Drown checker.

Milena Dimitrova

Een geïnspireerde schrijver en content manager die heeft met SensorsTechForum voor 4 jaar. Geniet ‘Mr. Robot’en angsten‘1984’. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen!

Meer berichten

Laat een bericht achter

Uw e-mailadres wordt niet gepubliceerd. Verplichte velden zijn gemarkeerd *

Termijn is uitgeput. Laad CAPTCHA.

Delen op Facebook Aandeel
Loading ...
Delen op Twitter Gekwetter
Loading ...
Delen op Google Plus Aandeel
Loading ...
Delen op Linkedin Aandeel
Loading ...
Delen op Digg Aandeel
Deel op Reddit Aandeel
Loading ...
Delen op StumbleUpon Aandeel
Loading ...