Čtvrtek 25. února 2021, svátek má Liliana
  • schránka
  • Přihlásit Můj účet
  • Čtvrtek 25. února 2021 Liliana

Útok DROWN je závažný, může za něj i úmyslné oslabení, vysvětlují experti

  10:21aktualizováno  13:05
Zranitelnost DROWN, využívající oslabené bezpečnosti starších protokolů a špatného nastavení přibližně třetiny světových serverů, ukazuje na některé dlouhodobější problémy.

Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS. | foto: drownattack.com

Útok DROWN, zveřejněný 1. března (viz náš předchozí článek) ukazuje princip, který lze využít pro napadení šifrované komunikace (například HTTPS) pomocí zranitelnosti staršího protokolu SSLv2. Uživatelé se přitom útoku nemohou bránit, chybu musí opravit provozovatelé serverů.

V čem spočívá útok DROWN

Podle analytiků ze společnosti Avast je chyba závažná, ale nikoli tak kritická, jako byla zranitelnost Heartbleed (psali jsme o ní v dubnu 2014). „Chyba DROWN je z hlediska bezpečnosti a ochrany dat velice závažná, ale jedná se především o špatné nastavení serverů, nikoli o novou chybu v kryptografii,“ shrnul pro Technet.cz názor analytiků Michal Salát, Threat Intelligence Manager firmy Avast. „Prevence proti DROWN útoku je v porovnání s Heartbleed hrozbou velice jednoduchá, ale exploitace systému je v případě DROWN složitější.“

Obrana musí proběhnout na straně serveru

„Útočník může pomocí DROWN zranitelnosti dešifrovat obsah HTTPS komunikace díky zneužití starého SSLv2 protokolu. Autorům této zranitelnosti se také podařilo zneužít některých chyb v OpenSSL a proces dešifrování mnohonásobně zrychlit,“ připomíná Salát. „Útočník tak může získat přístup k datům z webových stránek nebo IM služeb, e-mailům, ale také on-line platbám, číslům kreditních karet, heslům a dalším.“

A jak se bránit? „Administrátoři serverů by se měli ujistit, že jejich privátní klíče nejsou použity v žádném serverovém softwaru podporujícím SSLv2 (web server, SMTP/IMAP/POP server, xmpp apod.) Dále doporučujeme update OpenSSL na poslední verzi a globální vypnutí podpory SSLv2 protokolu,“ vyjmenovává Salát. Uživatelé nemohou svou napadnutelnost nijak ovlivnit, veškerá opatření proti DROWN probíhají na straně serveru.

„Podle informací, které jsme 1. března obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“ Na této webové stránce je možné otestovat, které servery zatím mezery v nastavení neopravily.

Zranitelnost DROWN zároveň upozornila na nevýhodu úmyslného oslabování šifrování, o které se často snaží různé vládní agentury. „Je to skvělá ukázka toho, jak úmyslně oslabená kryptografie v dlouhodobém horizontu poškodí bezpečnost všech,“ říká Nadia Heningerová, která o počítačové bezpečnosti přednáší na University of Pennsylvania a podílela se na studii popisující zranitelnost DROWN.

Aktualizace: Doplněné vyjádření odborníků.

Autor:
  • Nejčtenější

ANALÝZA: Lidé nejsou méně ukáznění. Proč rostou počty případů a co dál

Ze současné situace neexistuje žádné jednoduché a levné východisko. Ale jedna cesta nabízí naději na relativně rychlé...

Solární elektrárna na Sahaře by změnila svět k horšímu, tvrdí studie

Sahara osazená solárními panely by možná naplnila sen o zelené poušti i nevyčerpatelném zdroji čisté energie. Skrývá v...

Česko bude raketová velmoc. Ale jen v tom špatném smyslu

Česká armáda se chystá na nákup nové generace protiletadlových raketových systémů. Ale je poněkud nepochopitelné, že si...

Úspěch. Americká laboratoř přistála na Marsu i s malým vrtulníkem

NASA přiletěla na Mars znovu vyzkoušet nejtěžší přistávací manévr, jaký lidstvo na jiné planetě doposud provedlo....

{NADPIS reklamního článku dlouhý přes dva řádky}

{POPISEK reklamního článku, také dlouhý přes dva a možná dokonce až tři řádky, končící na tři tečky...}

Otevřel se padák a sonda dosedla. NASA zveřejnila záběry přistání na Marsu

NASA zveřejnila tříminutový videozáznam čtvrtečního přistání robotické sondy Perseverance na povrchu Marsu. Jde o...

Dvaadvacet znaků, že s tímhle mužem vás místo pohádky čeká jen utrpení

Premium Některé ženy jako by se zhlédly v popelce. Věří, že oříšky přinášejí prince. Jenže nakonec jsou z nich spíš veverky –...

Inflace požírá uložené peníze. Kam s nimi, aby jich zmizelo co nejméně?

Premium Naspořili jste 200 000 korun, uložili je na účet, těšili se na úroky a po roce zjistili, že jste zbohatli o celých 340...

Biolog Zrzavý: Covid se postará, abychom umírali i na něco jiného než rakovinu

Premium Podle amerického psychologa a genetika Roberta Plomina mají zděděné geny daleko větší význam při utváření naší...

  • Další z rubriky

Samsung představil tablet s perem, které slouží i jako dálkové ovládání

Samsung představil nový tablet Galaxy Tab S6. Novinka je menší a lehčí při zachování velikosti displeje oproti...

Huawei má problémy i v počítačích. Omezuje výrobu a ruší nový notebook

Omezení, které řada amerických firem uplatnila na společnost Huawei, se vedle mobilních zařízení a infrastruktury...

Chyby ohrožují stovky milionů zařízení. Jsou v OS, který asi neznáte

Bezpečnostní společnost objevila chyby v systému, který využívají například výtahy nebo tiskárny.

Přichází nový mini počítač Raspberry Pi. Zvládne dva monitory se 4k

Na světě je čtvrtá generace jednoduchého počítačového systému Raspberry Pi. Systém nyní pohání výkonnější procesor a...

Gabriela Koukalová: Exmanžel mě podváděl a myslím, že utrácel mé peníze

Bývalá světová šampionka v biatlonu, dnes moderátorka televizního pořadu Showtime, Gabriela Koukalová přiznává v...

Bondgirl Rosamund Pike žije v Česku. Překvapili ji opilí rafťáci v Krumlově

Britská herečka Rosamund Pike (42), známá například z bondovky Dnes neumírej, se kvůli natáčení s celou rodinou...

VIDEO: 5 triků, jak v obchodě otevřete mikrotenový sáček. Rychle a bez nervů

Suché ruce a mikrotenové sáčky - často náš největší nepřítel v obchodech. Někdy je to v oddělení pečiva či ovoce a...

Chci kratší pracovní týden a pět týdnů dovolené, říká Maláčová

Válka o kurzarbeit dospěla do fáze podepisování podmínek mírové dohody. Alespoň to tak působí z úst ministryně práce a...

Zemřel český DJ Thomas Coastline. Bylo mu 35 let

Zemřel známý český DJ Thomas Coastline, vlastním jménem Tomáš Malina. V minulosti prodělal rakovinu tlustého střeva. O...