Moje przemyślenia

Uwaga DROWN szaleje. Nawet co trzecia strona HTTPS narażona na atak

13

Ledwo zapomnieliśmy o aferze związanej z Heartbleed, a już mamy kolejną. Nowy atak o nazwie DROWN wykorzystuje lukę w Open SSL i naraża internautów na kradzież danych.

Jedni biją na alarm, inni bagatelizują i uspokajają. Faktem jest jednak, że niedoskonałości klucza SSLv2 znów dają nam się we znaki. To przestarzała wersja, która teoretycznie powinna już być dezaktywowana na większości serwerów. W praktyce jest inaczej - TNW informuje o nawet 33 proc. stronach HTTPS, które mogą być narażone na atak typu DROWN. Wystarczy bowiem, że serwer, z którym się komunikujemy pozwala użytkownikowi na wymuszenie szyfrowania TLS kluczami RSA i SSLv2. Atakujący jest w stanie przesłać spreparowane pakiety, aby odszyfrować komunikację. W rezultacie dochodzi do ataku typu Man-in-the-middle - hacker znajduje się pomiędzy klientem a serwerem i jest w stanie przechwycić newralgiczne dane np. osobowe lub dotyczące kart płatniczych.

Zdaniem The Next Web do przeprowadzenia ataku DROWN wystarczy niespełna minuta. Jak jednak pisze nasz rodzimy Niebezpiecznik, proces ten nie jest taki prosty. Atakujący musi się bowiem najpierw znaleźć pomiędzy serwerem i ofiarą, a więc przeprowadzić atak MITM. Dopiero wówczas możliwe jest odszyfrowanie komunikacji. Z tego też powodu wykorzystanie DROWN na szerszą skalę ma być raczej mało prawdopodobne. Z drugiej strony najłatwiej zrobić to operatorom lub monitorującym ich służbom. To już napawa pewnymi obawami, biorąc pod uwagę, że organy ścigania i władze mają coraz większy apetyt na informacje na temat użytkowników. Przykładem niech będzie chociażby konflikt na linii FBI - Apple, który jest symboliczną eskalacją wydarzeń z ostatnich lat (w tym ujawnionej przez Snowdena afery PRISM).

Najgorsze jest to, że zwykły użytkownik nie może kompletnie nic zrobić, aby się uchronić przed atakiem DROWN. Rozwiązanie to wykorzystuje bowiem słabość serwera. Co najwyżej zatem inicjatywę podjąć mogą właściciele stron www, którzy dezaktywują obsługę SSLv2 i korzystają z najnowszych dostępnych wersji Open SSL. W razie braku pewności, zawsze można skorzystać z testu SSL, który bada bezpieczeństwo serwera. Szczegóły dotyczące samego ataku zostały już zebrane w jednym miejscu na stosownej stronie www. Znajdziecie ją pod adresem drownattack.com. Tam też zamieszczono plik PDF opisujący w szczegółowy sposób cały atak oraz jego konsekwencje.

Hej, jesteśmy na Google News - Obserwuj to, co ważne w techu

Więcej na tematy:

Bezpieczeństwo