11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 millioner webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Det svarer til et antal på mere end 11 millioner webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Rammer gammel svaghed
Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 procent af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her: Efter ny kritisk sårbarhed: Drop nu SSL

Men der er flere problemer.

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb.

Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Konica Minolta Business Solutions Denmark A/S
Salg af kopimaskiner, digitale produktionssystemer og it-services.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Datasikkerhed

Aldrig tidligere har det været mere afgørende, at vores it-systemer og data er sikre, for aldrig tidligere har vi været så afhængige af data. Og aldrig tidligere har vores data og systemer været så udsatte med så mange indgangsveje og muligheder for at blive ramt: Cloud, mobilbrug, BYOD samt virksomhedernes ofte meget fragmenterede it-infrastruktur med mange forskellige applikationer på kryds og tværs har givet mange nye kanaler ind til virksomhedernes netværk og systemer. Læs mere



Tips og tricks med Excel - Gratis inspirationsseminar

Kom til et spændende inspirationsseminar, der giver dig indsigt i hvordan Excel også kan benyttes til opgaver, som du måske ikke i dag bruger programmet til. Læs mere



Skygge-it

Mange it-afdelinger kæmper for at håndtere det kontrol-tab, der følger med, når medarbejdere og afdelinger begynder at anskaffe egne it-løsninger, som ikke nødvendigvis er koordineret eller godkendt af it-afdelingen. På dette How To seminar får du overblik over værktøjer og metoder til at håndtere skygge-it, så du genvinder kontrollen og minimerer it-sikkerheds-risikoen. Læs mere







CIO
Skandalerne i Skat er en urimelig sejr for de digitaliserings-modvillige
Klumme: Skandalerne i Skat er en vigtig sejr for dem, som ikke tror på digitalisering af den offentlige sektor. Og Skats problemer bliver ikke løst af organisationsændringer.
Comon
25.000 danskere gået i kuponsvindel-fælde på Facebook på blot seks timer: "Det spredte sig som en steppebrand"
Fakta, Netto, Aldi, Lidl, Lego og flere andre varemærker bliver lige nu udnyttet i forbindelse med kuponsvindel på Facebook, og danskerne klikker i hobetal. Læs hvad der sker, hvis du klikker.
Channelworld
Dansk hosting-direktør: På disse tre områder banker danske hosting-firmaer Microsoft og Amazon af banen
Den danske hostingbranche er godt polstret til at modstå konkurrencen fra globale cloud-spillere som Amazon og Microsoft. Her er tre grunde til, at danske hostingudbydere ikke blæser omkuld i konkurrencen.
White paper
Kør digitalt med the Internet of Things
Digitalisering er skabt for kunderne. Den eneste grund til at teknologi er afgørende i den digitale udvikling, er at kundernes præferencer og adfærd, mere end nogensinde før, er drivkraften bag virksomhedernes teknologiske valg. Bliv klogere på digitalisering i dette white paper.