Apenas quando as coisas ficaram quietos ao redor do bug heartbleed infame, uma nova vulnerabilidade vem ao redor e nos morde. A questão certamente é como prejudicial a mordida é.
Bem, bastante. De acordo com pesquisadores de segurança, AFOGAR, a nova vulnerabilidade em questão, afeta um terço dos sites HTTPS, ou aproximadamente 33% de servidores. Foi descrito como um "novo ataque de protocolo cruzado" pelo grupo de pesquisadores que o divulgou. Mesmo que o número não seja tão grande quando comparado aos danos causados pelo Heartbleed, ainda é problemático.
Aprender mais sobre The Heartbleed Bug
A vulnerabilidade DROWN explicada: CVE-2016-0800
A primeira coisa a mencionar é que o ataque DROWN é identificado como CVE-2016-0800. No momento que este artigo está sendo escrito, nenhuma descrição oficial está disponível em cve.mitre.org.
DROWN é de fato uma vulnerabilidade em OpenSSL que compromete servidores usando SSLv2. Um ataque que explora a vulnerabilidade termina com a descriptografia das comunicações HTTPS do site e o roubo dos dados criptografados.
O que significa DROWN?
A sigla significa Descriptografando RSA usando criptografia obsoleta e enfraquecida. Foi identificado por uma equipe de 15 especialistas em segurança de várias universidades.
Por que o DROWN é implantado por invasores?
Porque pode interceptar qualquer comunicação entre os usuários e o servidor e roubar dados confidenciais no caminho. O que isto significa? Nomes de usuários, senhas, números de cartão de crédito, e-mails, todos os tipos de documentos, mensagens instantâneas podem ser roubadas. Outro resultado de um ataque DROWN são os invasores se fazendo passar por um (HTTPS) site e alterando o conteúdo exibido para o usuário.
Outras façanhas para se manter longe de: Batata quente
Quais sites são vulneráveis a um ataque DROWN?
A lista de sites vulneráveis https://drownattack.com/top-sites.html é bastante grande. Centenas de domínios do Alexa Top 10,000 foram considerados vulneráveis a MitM (homem no meio) ataques pouco antes do ataque DROWN ser divulgado ao público em março 1. Resumindo, sites, servidores de correio, além disso, os serviços dependentes de TLS estão sujeitos a um ataque DROWN. Infelizmente, muitos sites populares correm o risco de sofrer vulnerabilidade, incluindo Yahoo, Alibaba, Flickr, além de sites de fornecedores de segurança populares.
Seu site pode ser DROWN-ed?
Um ataque DROWN é baseado em TLS (Segurança da Camada de Transporte). TLS é um protocolo considerado melhor que SSL (Secure Sockets Layer). Contudo, TLS e SSL usam a mesma chave de sessão criptografada por RSA que gera a conexão HTTPS.
O que significa tudo isso?
Os servidores que ainda usam SSLv2 e TLS simultaneamente estão sujeitos à exploração, então certifique-se de desativar SSLv2. Contudo, uma configuração de servidor adicional pode expor sites à vulnerabilidade, mesmo nos casos em que o site só emprega TLS.
Aqui está o que os pesquisadores dizem:
Você corre o mesmo risco se o certificado ou chave do seu site for usado em qualquer outro lugar em um servidor que suporte SSLv2. Exemplos comuns incluem SMTP, IMAP, e servidores de correio POP, e servidores HTTPS secundários usados para aplicativos da web específicos.
Outro grande perigo vem da "reciclagem" de chaves RSA, porque a reutilização torna os servidores suscetíveis a tais ataques. Por exemplo, seu site está em risco, se os administradores removeram o protocolo SSLv2, mas não protegeram o protocolo TLS com novas chaves RSA.
Leia mais sobre A alarmante reutilização de chaves RSA
Para certificar-se de que seu site não está sujeito ao ataque DROWN, use o Verificador DROWN.