Tim bezbednosnih stručnjaka objavio je izveštaj o takozvanom DROWN propustu, Internet pošasti kakvu nismo videli još od Heartbleed-a. DROWN je bezbednosni propust u OpenSSL softveru i zbog toga zahvata više od 11 miliona HTTPS sajtova, a omogućava presretanje zaštićenog saobraćaja.
Propust, naime, omogućava dešifrovanje "enkriptovanih" Internet podataka, što uključuje i lozinke, bankovne podatke pri online kupovini, kao i chat poruke, email podatke i slično. Na DROWN je ranjivo više od 33% servera, a radi ilustracije šta ovo znači, najbolje je da pogledate listu nekih od zahvaćenih sajtova. Na njoj su neki od najposećenijih sajtova na svijetu – između ostalog, Yahoo, Weibo, Flickr, Samsung, BuzzFeed, Alibaba, Indiatimes, 4Shared, Gemius.gl, Apache.org i mnogi drugi.
Dobra vest je to da je OpenSSL zakrpa već dostupna. Loša vest je to da je napad kojim je moguće iskoristiti DROWN propust lako izvesti, budući da napadači mogu presresti enkriptovani Internet saobraćaj u roku od jednog minuta specijalno osmišljenim udaljenim ispitivanjem ranjivog servera.
U korenu ovog problema leži SSLv2 protokol kojeg je potrebno ukloniti, jer preko njega napadači mogu da hakuju servere koji koriste novije i bezbednije protokole.
Na ovom linku možete proveriti da li je određeni server ranjiv na DROWN.
Foto: Pavel Ignatov / Shutterstock
Milioni sajtova ranjivi zbog propusta u OpenSSL softveru
10:04
nema komentara
Postavi komentar
Vaš komentar: