Útok DROWN je závažný, může za něj i úmyslné oslabení, vysvětlují experti

  10:21aktualizováno  13:05
Zranitelnost DROWN, využívající oslabené bezpečnosti starších protokolů a špatného nastavení přibližně třetiny světových serverů, ukazuje na některé dlouhodobější problémy.

Princip útoku DROWN: Útočník napadne server požadavky SSLv2 a získá tak údaje, které využije k dekódování dat oběti přenášených přes TLS. | foto: drownattack.com

Útok DROWN, zveřejněný 1. března (viz náš předchozí článek) ukazuje princip, který lze využít pro napadení šifrované komunikace (například HTTPS) pomocí zranitelnosti staršího protokolu SSLv2. Uživatelé se přitom útoku nemohou bránit, chybu musí opravit provozovatelé serverů.

V čem spočívá útok DROWN

Podle analytiků ze společnosti Avast je chyba závažná, ale nikoli tak kritická, jako byla zranitelnost Heartbleed (psali jsme o ní v dubnu 2014). „Chyba DROWN je z hlediska bezpečnosti a ochrany dat velice závažná, ale jedná se především o špatné nastavení serverů, nikoli o novou chybu v kryptografii,“ shrnul pro Technet.cz názor analytiků Michal Salát, Threat Intelligence Manager firmy Avast. „Prevence proti DROWN útoku je v porovnání s Heartbleed hrozbou velice jednoduchá, ale exploitace systému je v případě DROWN složitější.“

Obrana musí proběhnout na straně serveru

„Útočník může pomocí DROWN zranitelnosti dešifrovat obsah HTTPS komunikace díky zneužití starého SSLv2 protokolu. Autorům této zranitelnosti se také podařilo zneužít některých chyb v OpenSSL a proces dešifrování mnohonásobně zrychlit,“ připomíná Salát. „Útočník tak může získat přístup k datům z webových stránek nebo IM služeb, e-mailům, ale také on-line platbám, číslům kreditních karet, heslům a dalším.“

A jak se bránit? „Administrátoři serverů by se měli ujistit, že jejich privátní klíče nejsou použity v žádném serverovém softwaru podporujícím SSLv2 (web server, SMTP/IMAP/POP server, xmpp apod.) Dále doporučujeme update OpenSSL na poslední verzi a globální vypnutí podpory SSLv2 protokolu,“ vyjmenovává Salát. Uživatelé nemohou svou napadnutelnost nijak ovlivnit, veškerá opatření proti DROWN probíhají na straně serveru.

„Podle informací, které jsme 1. března obdrželi, se problém týká téměř třinácti tisíc IP adres,“ řekla pro Technet.cz Zuzana Duračinská, bezpečnostní analytička sdružení CZ.NIC. „Všechny provozovatele těchto adres jsme již o tomto problému informovali.“ Na této webové stránce je možné otestovat, které servery zatím mezery v nastavení neopravily.

Zranitelnost DROWN zároveň upozornila na nevýhodu úmyslného oslabování šifrování, o které se často snaží různé vládní agentury. „Je to skvělá ukázka toho, jak úmyslně oslabená kryptografie v dlouhodobém horizontu poškodí bezpečnost všech,“ říká Nadia Heningerová, která o počítačové bezpečnosti přednáší na University of Pennsylvania a podílela se na studii popisující zranitelnost DROWN.

Aktualizace: Doplněné vyjádření odborníků.

Autor:

50. výročí přistání na Měsící

Americký kosmický let Apollo 11 splnil svoji misi 20. července 1969. Na povrch Měsíce jako první člověk vstoupil velitel posádky Neil Armstrong. Doprovázel jej Edwin "Buzz" Aldrin, zatímco Michael Collins zůstal na palubě vesmírné lodi.

Téma Apollo 11 v článcích Technet.cz:
O čem si povídali kosmonauti Apolla 11. Poslechněte si tisíce hodin „ticha“
Co kdyby Apollo 11 zůstalo na Měsíci? Pohřbili by je přes rádio zaživa
Vlajky na Měsíci stále stojí. Podívejte se na důkaz ze sondy LRO

Nejčtenější

U Prochorovky to bylo jinak. Němci nám kradou tankovou bitvu, zuří Rusko

U Prochorovky se v červenci 1943 odehrála jedna z největších tankových bitev.

Nejslavnější tanková bitva u Prochorovky je ruská propaganda, napsal Die Welt s odkazem na zjištění německých a...

K síti se připojila největší solární elektrárna. Rekord dlouho nevydrží

Pohled na elektrárnu Nur Abú Zabí ze vzduchu

Ve Spojených arabských emirátech k začátku července spustili největší fotovoltaickou elektrárnu na světě. Má maximální...

Amatérský astronom vyfotografoval supertajný americký raketoplán X-37B

Americký raketoplán X-37B na orbitě

Nizozemský pozorovatel satelitů a vědecký novinář Ralf Vandebergh nejspíš udělal nejlepší fotku svého života. Podařilo...

Jeho formule chtěl každý. Autor slavných vystřihovánek slaví devadesátiny

Richard Vyškovský se svým modelem cisternové stříkačky CAS 32 na podvozku Tatra...

Richard Vyškovský je pro laickou veřejnost nepříliš známé jméno, v modelářské komunitě je však doslova celebritou. S...

Největší dobrodružství 20. století začalo o tři čtvrtě sekundy později

Tři Američané právě odstartovali na misi, kterou bedlivě sleduje celý svět.

Ani ostřílený hlasatel vesmírného střediska na Mysu Canaveral nedokáže zakrýt pohnutí. Je 16. července 1969, 9:32 ráno...

Další z rubriky

Huawei má problémy i v počítačích. Omezuje výrobu a ruší nový notebook

Trojice notebooků Huawei pro rok 2019. Zprava MateBook 13, 14 a X Pro.

Omezení, které řada amerických firem uplatnila na společnost Huawei, se vedle mobilních zařízení a infrastruktury...

Aktualizujte si WhatsApp. Kvůli chybě vás mohli útočníci odposlouchávat

Aplikace WhatsApp (ilustrační obrázek)

Nový trik využívající chybu v komunikační aplikaci WhatsApp umožnil na základě zmeškaného hovoru nainstalovat do...

Americká bezpečnostní služba NSA varuje před chybou ve starých Windows

Windows XP se zdála být věčná.

Téměř měsíc starou vážnou chybu v operačním systému Windows XP, 2003, 7 a Server 2008 si stále nezáplatovala velká část...

Najdete na iDNES.cz