Klávesové zkratky na tomto webu - základní­
Přeskočit hlavičku portálu


Nový útok DROWN ohrožuje uživatele. Každý třetí server je zranitelný

  15:00aktualizováno  15:00
Výzkumníci našli nový způsob útoku na šifrovanou komunikaci internetových serverů. Útočník jej může napadnout a zmocnit se soukromých dat: jmen, hesel, čísel kreditních karet apod. Přibližně 33 % serverů na světě je nyní zranitelných.

Útok DROWN využívá staré chyby v SSLv2 | foto: drownattack.com, montáž: Pavel Kasík - Technet.czProfimedia.cz

Informace o útoku nazvaném DROWN (Decrypting RSA with Obsolete and Weakened eNcryption) zveřejnil mezinárodní výzkumný tým 1. března. Využívá 17 let staré chyby v dnes již překonaném, ale stále používaném protokolu SSLv2.

„Jde o vážnou zranitelnost, která se dotýká protokolu HTTPS a dalších služeb závisejících na SSL a TLS, tedy klíčových šifrovacích protokolů nezbytných pro zabezpečení na internetu,“ uvádí autoři studie (dostupná v PDF). „Zranitelné mohou být webové stránky, mailové servery a jiné služby, které protokol TLS využívají,“ dodává český Národní bezpečnostní tým.

Zranitelné jsou ty servery, které:

  • povolují zastaralý protokol SSLv2
  • využívají klíč, který je zároveň využit serverem povolujícím SSLv2

Princip útoku DROWN

Podle odhadu autorů je zasažena čtvrtina až třetina všech internetových serverů. „Tento problém je srovnatelný s chybou Heartbleed (více o Heartbleed zde). I v tomto případě může dojít k dešifrování komunikace,“ uvedla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC.

Po celém světě jsou zranitelné miliony serverů. V České republice jsou to tisíce. „Podle informací, které jsme včera obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla Duračinská. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“

Řešení: okamžité i dlouhodobé

Každý provozovatel webových serverů si může ověřit, zda je jeho server napadnutelný útokem DROWN. Nejjednodušší ochranou je zakázat protokol SSLv2 na všech serverech. Některé webové servery (např. Microsoft IIS od verze 7.0) a knihovny (např. OpenSSL od verze 1.0.2g) jsou takto již nastavené, u jiných je potřeba toto nastavení upravit.

Uživatelé nemohou pro svou ochranu v tuto chvíli udělat nic, na straně klienta není proti útoku DROWN obrany. Maximálně se mohou vyhýbat serverům, které nejsou zabezpečené. To nám potvrdila i Duračinská: „Na straně uživatelů bohužel není možné se jakkoliv bránit. Potřebná opatření musí udělat dotčení provozovatelé služeb.“

Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery,...

Ohrožené jsou servery, které využívají TLS i SSLv2 protokoly, nebo servery, které používají SSLv2 protokol a sdílí klíč s jiným TLS serverem. Celkem je tak zranitelných 33 % webových serverů.

Dlouhodobé řešení vidí autoři studie v pečlivém zavírání bezpečnostních chyb, odstřihávání zastaralých protokolů a knihoven a omezení opakovaného využívání bezpečnostních klíčů. V současné době ale podle nich „finanční politika certifikačních autorit povzbuzuje firmy k tomu, aby si nakoupily nejmenší možný počet bezpečnostních certifikátů.“

Autor:




Hlavní zprávy

Další z rubriky

(Ilustrační snímek)
Upozornil MHD na ostudnou chybu. Maďarská policie ho zatkla jako „hackera“

Maďarský provozovatel hromadné dopravy v Budapešti zavedl nový systém pro placení lístků on-line. Narychlo spuštěné stránky však obsahovaly řadu zásadních...  celý článek

Uměle vytvořené video Barracka Obamy
Budoucnost falešných zpráv: za tři roky budou videa nedůvěryhodná

Kvůli fotomontážím se už dlouho nedá jen tak věřit fotografiím. Nové technologie povedou ke stejně přesvědčivým manipulacím i v oblasti lidského hlasu a...  celý článek

ZmapujTo.cz
Tipy na weby: Ukliďte Česko. Hlaste podněty přímo z ulice či lesa

Práskat se nemá, ale hlásit se to musí. Poukažte na problémy ve vašem okolí přímo z terénu a nechte je řešit díky projektu ZmapujTo.cz. Smazat sami sebe z...  celý článek

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz



mobilní verze
© 1999–2017 MAFRA, a. s., a dodavatelé Profimedia, Reuters, ČTK, AP. Jakékoliv užití obsahu včetně převzetí, šíření či dalšího zpřístupňování článků a fotografií je bez souhlasu MAFRA, a. s., zakázáno. Provozovatelem serveru iDNES.cz je MAFRA, a. s., se sídlem
Karla Engliše 519/11, 150 00 Praha 5, IČ: 45313351, zapsaná v obchodním rejstříku vedeném Městským soudem v Praze, oddíl B, vložka 1328. Vydavatelství MAFRA, a. s., je členem koncernu AGROFERT.