Útok DROWN je závažný, může za něj i úmyslné oslabení, vysvětlují experti

  10:21aktualizováno  13:05
Zranitelnost DROWN, využívající oslabené bezpečnosti starších protokolů a špatného nastavení přibližně třetiny světových serverů, ukazuje na některé dlouhodobější problémy.

Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS. | foto: drownattack.com

Útok DROWN, zveřejněný 1. března (viz náš předchozí článek) ukazuje princip, který lze využít pro napadení šifrované komunikace (například HTTPS) pomocí zranitelnosti staršího protokolu SSLv2. Uživatelé se přitom útoku nemohou bránit, chybu musí opravit provozovatelé serverů.

V čem spočívá útok DROWN

Podle analytiků ze společnosti Avast je chyba závažná, ale nikoli tak kritická, jako byla zranitelnost Heartbleed (psali jsme o ní v dubnu 2014). „Chyba DROWN je z hlediska bezpečnosti a ochrany dat velice závažná, ale jedná se především o špatné nastavení serverů, nikoli o novou chybu v kryptografii,“ shrnul pro Technet.cz názor analytiků Michal Salát, Threat Intelligence Manager firmy Avast. „Prevence proti DROWN útoku je v porovnání s Heartbleed hrozbou velice jednoduchá, ale exploitace systému je v případě DROWN složitější.“

Obrana musí proběhnout na straně serveru

„Útočník může pomocí DROWN zranitelnosti dešifrovat obsah HTTPS komunikace díky zneužití starého SSLv2 protokolu. Autorům této zranitelnosti se také podařilo zneužít některých chyb v OpenSSL a proces dešifrování mnohonásobně zrychlit,“ připomíná Salát. „Útočník tak může získat přístup k datům z webových stránek nebo IM služeb, e-mailům, ale také on-line platbám, číslům kreditních karet, heslům a dalším.“

A jak se bránit? „Administrátoři serverů by se měli ujistit, že jejich privátní klíče nejsou použity v žádném serverovém softwaru podporujícím SSLv2 (web server, SMTP/IMAP/POP server, xmpp apod.) Dále doporučujeme update OpenSSL na poslední verzi a globální vypnutí podpory SSLv2 protokolu,“ vyjmenovává Salát. Uživatelé nemohou svou napadnutelnost nijak ovlivnit, veškerá opatření proti DROWN probíhají na straně serveru.

„Podle informací, které jsme 1. března obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“ Na této webové stránce je možné otestovat, které servery zatím mezery v nastavení neopravily.

Zranitelnost DROWN zároveň upozornila na nevýhodu úmyslného oslabování šifrování, o které se často snaží různé vládní agentury. „Je to skvělá ukázka toho, jak úmyslně oslabená kryptografie v dlouhodobém horizontu poškodí bezpečnost všech,“ říká Nadia Heningerová, která o počítačové bezpečnosti přednáší na University of Pennsylvania a podílela se na studii popisující zranitelnost DROWN.

Aktualizace: Doplněné vyjádření odborníků.

Autor:
  • Nejčtenější

Kafe jako hnůj. Trápení italského stíhače, který zabloudil do Čech

Před 60 lety se letiště v Hradci Králové stalo místem přistání italské stíhačky s mladým pilotem Ernestem De Majem. Ten...

Neutrácejte za novou televizi. Stačí takto připojit DVB-T2 za pár korun

Možná i vy budete muset svůj televizor brzy doplnit DVB-T2 set-top boxem, pokud budete chtít nadále přijímat bezplatní...

Programování vám pomůže chápat svět, říká slavný geek. Varuje před AI

Říkat počítači, co má dělat, je naprosto jedinečná činnost. Naučí nás to mnohem víc, než si uvědomujeme. Programovat...

Na cele s Meresjevem. Konec bloudění italského stíhače českou oblohou

K italskému pilotovi, který v roce 1959 zabloudil na naše území, pustily úřady představitele ambasády až po více než...

Neházejte 737 Max na piloty, píše legenda „Sully“. Byla to smrtelná past

Chesley Sullenberger varuje před svalováním viny za nehody letadel 737 Max jen na piloty. Slavný „kapitán Sully“,...

Premium

Do luxusu investoval i Jaromír Soukup. Nejdražší byt v Česku je dál na prodej

Na samém vrcholu stometrového mrakodrapu V Tower na pražském Pankráci jsou dva penthousy, obecně považované za...

iDNES Premium už používá 150 tisíc lidí. Cena nebude mít konkurenci

Unikátní služba iDNES Premium funguje měsíc. Už bezmála sto padesát tisíc čtenářů oslovil mix exkluzivního čtení a...

Premium

Sex je snadno dostupný, ale nevěra ještě není důvod k rozchodu

Tolerance je podle něj jen povýšenecký postoj k druhému a vytváří korupční prostředí, proto do partnerských ani jiných...

  • Další z rubriky

Přehrávač VLC je dle jeho tvůrce bezpečný, chyba je ve starší knihovně

Organizace, která vyvíjí přehrávač VLC, se brání, že by jeho nová verze obsahovala chybu, která by měla umožnit...

Přichází nový mini počítač Raspberry Pi. Zvládne dva monitory se 4k

Na světě je čtvrtá generace jednoduchého počítačového systému Raspberry Pi. Systém nyní pohání výkonnější procesor a...

Chyby ohrožují stovky milionů zařízení. Jsou v OS, který asi neznáte

Bezpečnostní společnost objevila chyby v systému, který využívají například výtahy nebo tiskárny.

Aktualizujte si ovladače ke grafickým kartám Nvidia, obsahují chybu

Bezpečnostní odborníci varují před chybami ve starších ovladačích Nvidia. Ty mohou vést až k úniku dat a ke spuštění...

Akční letáky
Akční letáky

Všechny akční letáky na jednom místě!

Najdete na iDNES.cz