Milioni sajtova ranjivi zbog propusta u OpenSSL softveru


Tim bezbednosnih stručnjaka objavio je izveštaj o takozvanom DROWN propustu, Internet pošasti kakvu nismo videli još od Heartbleed-a. DROWN je bezbednosni propust u OpenSSL softveru i zbog toga zahvata više od 11 miliona HTTPS sajtova, a omogućava presretanje zaštićenog saobraćaja.

Propust, naime, omogućava dešifrovanje "enkriptovanih" Internet podataka, što uključuje i lozinke, bankovne podatke pri online kupovini, kao i chat poruke, email podatke i slično. Na DROWN je ranjivo više od 33% servera, a radi ilustracije šta ovo znači, najbolje je da pogledate listu nekih od zahvaćenih sajtova. Na njoj su neki od najposećenijih sajtova na svijetu – između ostalog, Yahoo, Weibo, Flickr, Samsung, BuzzFeed, Alibaba, Indiatimes, 4Shared, Gemius.gl, Apache.org i mnogi drugi.

Dobra vest je to da je OpenSSL zakrpa već dostupna. Loša vest je to da je napad kojim je moguće iskoristiti DROWN propust lako izvesti, budući da napadači mogu presresti enkriptovani Internet saobraćaj u roku od jednog minuta specijalno osmišljenim udaljenim ispitivanjem ranjivog servera.

U korenu ovog problema leži SSLv2 protokol kojeg je potrebno ukloniti, jer preko njega napadači mogu da hakuju servere koji koriste novije i bezbednije protokole.

Na ovom linku možete proveriti da li je određeni server ranjiv na DROWN.

Foto: Pavel Ignatov / Shutterstock

Podeli
Pošalji
Podeli
Podeli
Pošalji
Pošalji

Komentariši! Budi prvi i započni diskusiju!
Broj komentara:
0

Postavi komentar

Vaš komentar:

 
Početna      Impressum      Pravila komentarisanja      Marketing      Kontakt
 

 
© 2009-2021 IT vesti - Sva prava zadržana. Zabranjeno je svako kopiranje sadržaja sajta bez pismene dozvole.