11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 millioner webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

Annonce:
Annonce:
En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Det svarer til et antal på mere end 11 millioner webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Kilde: drownattack.com

Om Https:

Kort fortalt benyttes https på sites, hvor der er udveksling af fortrolige oplysninger som brugernavne, passwords, kreditkortoplysninger. Det kunne eksempelvis være i webshops, i netbanken og hos din webmail-udbyder.

Banker og webshops har kørt med HTTPS-kryptering i flere år, efter den hedengangne browser Netscape Navigator introducerede teknologien helt tilbage i 1994.

Det skyldes, at HTTPS har den fordel, at du som bankkunde kan være nogenlunde sikker på, at det rent faktisk er din egen bank, du besøger og ikke en hjemmeside, der udgiver sig for at være din bank.

Du skal dog stadig være opmærksom på, at du er på det rette webdomæne - minbank.dk frem for minhacketbank.dk.

Derudover kan du også være ret sikker på, at ingen kan aflytte og opsnuse de pengetransaktioner, som du foretager dig på bankens hjemmeside, da al trafik mellem din browser og bankens HTTPS-certifikat vil være krypteret.

Rammer gammel svaghed
Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 procent af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her: Efter ny kritisk sårbarhed: Drop nu SSL

Men der er flere problemer.

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb.

Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Få bedre performance på forretningskritiske applikationer

Nutidens virksomheder drives af it og specielt software. Bliv opdateret på, hvordan brugen af APM kan hjælpe og understøtte overgangen til en softwaredefineret forretning. Læs mere

Wihlborgs Konferencecenter - 2750 Ballerup



Ingen ved hvordan fremtidens computervirus ser ud

Tirsdag d. 31. maj 2016 sætter vi fokus på it-sikkerhed med udgangspunkt i Microsofts teknologier. Her har du mulighed for at møde en række indlægsholdere, der vil inspirere dig til, hvordan du i praksis beskytter dig bedst muligt og hvorfor det er vigtigt at tage truslerne alvorligt - både i it-afdelingen og på direktionsgangen! Læs mere

Microsoft Danmark - 2800 Kongens Lyngby



The Mobile Wave 2016

På Computerworlds Mobile Wave konference d. 2. juni bliver du opdateret på de nye, hotte mobil-trends og får et indblik i de nye løsninger og teknologier. Oplev internationale talere og konkrete danske cases. Alt sammen helt gratis. Læs mere

Scandic Sydhavnen - 2450 København SV







Computerworld
Den næste iPhone bliver kedelig - men så sker der noget virkelig interessant
ComputerViews: Til næste år sker der noget interessant med iPhonen, og derfor kan iPhone-brugere gøre klogt i at vente med at udskifte den gamle iPhone.
CIO
Sådan fik Johnny Vad reduceret it-nedetiden fra 37.000 timer til næsten nul på et enkelt år
Ved at overvåge it-leverandørernes præstationer røg antallet af spildte arbejdstimer ned fra 37.000 til ganske få timer på et enkelt år. "Det er ganske enkelt og uhyre effektivt," fortæller it-chefen, der fik ideen.
Channelworld
Microsoft skruer gevaldigt op for dansk udviklingscenter: Hyrer udviklere i bundter
Microsoft ansætter op mod 50 nye udviklere i selskabets største investering på dansk jord siden opkøbet af Navision i 2002.
White paper
De 4 servicefaser
Læs i dette white paper om de fire servicefaser: Før-køb, Køb, Efter-køb - Marketing, Efter-køb - Service