BT

Ataque DROWN: Mais de 11,5 milhões de sites HTTPS com OpenSSL em risco

| por Walter Filho Seguir 0 Seguidores em 30 mar 2016. Tempo estimado de leitura: 1 minuto |

Mais uma vulnerabilidade crítica de segurança foi descoberta no OpenSSL que afeta mais de 11,5 milhões de sites modernos e serviços de e-mail protegidos pelo antigo recurso, o obsoleto protocolo de segurança da camada de transporte, Secure Sockets Layer (SSLv2).

Apelidado de DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), essa crítica falha de segurança em OpenSSL foi discutida hoje como um ataque de baixo custo que poderia decifrar dados de suas comunicações HTTPS seguras, incluindo senhas, detalhes do cartão de crédito e até comprometendo outros servidores na mesma rede.

Cabe ressaltar que uma equipe de 15 pesquisadores de segurança de várias universidades e a comunidade infosec advertiram nesta terça-feira, que este ataque pode ter êxito em questão de horas ou em alguns casos, quase imediatamente.

O ataque DROWN permitiria que um invasor consiga descriptografar conexões HTTPS através do envio de pacotes maliciosos especialmente criados para um servidor ou se o certificado é compartilhado com um outro servidor, realizando um potencial ataque bem sucedido de Homem-no-Meio (MITM).

Além do OpenSSL, oInternet Information Services (IIS) da Microsoft nas versões 7 e anteriores, assim como versões anteriores a 3.13 da biblioteca criptográfica do Network Security Services (NSS) incluídas em muitos servidores também estão propícios ao ataque DROWN.

Pode-se descobrir se o website é vulnerável a esta grave falha de segurança usando o site de teste do ataque DROWN.

Usuários do OpenSSL 1.0.2 são fortemente aconselhados a atualizar para o OpenSSL 1.0.2g e usuários do OpenSSL 1.0.1 são recomendados para atualizar para a versão 1.0.1s do OpenSSL. Ao usar outra versão do OpenSSL para a segurança, deve mover-se para as versões mais recentes 1.0.2g ou 1.0.1s.

A fim de proteger-se contra o ataque DROWN, deve-se assegurar que o SSLv2 está desativado, bem como certificar-se de que a chave privada não é compartilhada com quaisquer outros servidores.

Pode-se encontrar mais detalhes técnicos e uma lista dos principais sites vulneráveis no site do ataque DROWN.

Avalie esse artigo

Relevância
Estilo/Redação

Olá visitante

Você precisa cadastrar-se no InfoQ Brasil ou para enviar comentários. Há muitas vantagens em se cadastrar.

Obtenha o máximo da experiência do InfoQ Brasil.

Dê sua opinião

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão
Comentários da comunidade

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

HTML é permitido: a,b,br,blockquote,i,li,pre,u,ul,p

Receber mensagens dessa discussão

Dê sua opinião

Faça seu login para melhorar sua experiência com o InfoQ e ter acesso a funcionalidades exclusivas


Esqueci minha senha

Follow

Siga seus tópicos e editores favoritos

Acompanhe e seja notificados sobre as mais importantes novidades do mundo do desenvolvimento de software.

Like

Mais interação, mais personalização

Crie seu próprio feed de novidades escolhendo os tópicos e pessoas que você gostaria de acompanhar.

Notifications

Fique por dentro das novidades!

Configure as notificações e acompanhe as novidades relacionada a tópicos, conteúdos e pessoas de seu interesse

BT