11 millioner webservere er sårbare overfor nyt kritisk SSL-sikkerhedshul

Nyopdaget sårbarhed rammer ikke mindre end 11 millioner webservere. Sårbarheden hedder Drown, og problemet ligger i en gammel krypteringsmetode, som faktisk slet ikke anvendes mere. Her er forklaringen.

En organisation med medlemmer som Google, OpenSSL-projektet og flere store universiteter har advaret om en sårbarhed, med navnet Drown (Decrypting RSA with Obsolete and Weakened eNcryption), der rammer webservere, som anvender kryptering.

Du kan læse advarslen her.

Ifølge sikkerhedsorganisationen er problemet meget massivt for det rammer en tredjedel af alle servere, der anvender Https-protokollen til sikker kommunikation.

Det svarer til et antal på mere end 11 millioner webservere.

Sårbarheden gælder således for webservere, der anvender Https og andre tjenester, der er afhængige af Transport Layer Security og Secure Sockets Layer.

Rammer gammel svaghed
Det opsigtsvækkende ved sårbarhede er, at den egentlig ikke direkte rammer for de protokoller, der nævnes ovenfor, men handler om den gamle krypteringsprotokol SSLv2.

Denne protokol anvendes stort set ikke mere, men problemet rammer også webservere, der på grund af miskonfiguration, stadig understøtter SSLv2, hvilket altså er ganske mange.

En webserver, der kan forbinde med SSLv2 er således åben for Drown, hvilket gælder 17 procent af de webservere, der benytter Https.

Du kan læse meget mere om de usikre protokoller her: Efter ny kritisk sårbarhed: Drop nu SSL

Men der er flere problemer.

Selv om webserveren ikke tillader SSLv2, så rækker det, hvis mail-serveren gør det. Så kan en Transport Layer Security-tilslutning til webserveren hackes, hvis krypteringsnøgler genbruges mellem forskellige servere.

Opdagelsen er helt dugfrisk, så er der er endnu ingen eksempler på, at sårbarheden er blevet udnyttet af skumle personager.

Løsningen på problemet ligger hos administratorerne, der skal sikre, at private nøgler ikke anvendes på de servere eller den software, som støtter SSLv2. Det gælder eksempelvis smtp-, imap- og pop-servere.

Du kan finde et værktøj, der kan analysere om dine servere er sårbare her, hvor der også er en guide til at fjerne problemerne.

Der er mere læsning om SSL her: Kritisk SSL-hul er bombe under internet-sikkerheden og i denne historie: Slem brist i SSL-protokol åbner for avanceret angreb.

Læs også:

Sådan bryder hackere internet-kryptering

Guide: Sådan gør du din hjemmeside sikker med HTTPS

Efter ny kritisk sårbarhed: Drop nu SSL



Ytringer på debatten er afsenders eget ansvar - læs debatreglerne
Indlæser debat...


Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
EG A/S
Udvikling, salg, implementering og support af software og it-løsninger til ERP, CRM, BA, BI, e-handel og portaler. Infrastrukturløsninger og hardware. Fokus på brancheløsninger.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Hosting og outsourcing: Find den rigtige model og leverandør

Hosting og outsourcing-markedet rummer utallige muligheder for at aflaste og effektivisere din virksomhed, så der kan fokuseres på kerneforretningen. Markedet er dog også kendetegnet ved mange og meget forskellige leverandører og leverance-modeller. På dette event giver vi dig et indblik i, hvordan hosting i 2017 kan blive en strategisk og praktisk hjælp for din virksomhed.

24. oktober 2017 | Læs mere


Gå hjem møde om machine learning: Kickstart dine machine learning-projekter

På dette gå hjem møde får du fra eksperter på området en introduktion til machine learning og de nye teknologiske og forretningsmæssige muligheder, det skaber. Kickstart dine machine learning-projekter ved at deltage i dette gå hjem møde

25. oktober 2017 | Læs mere


Sikkerhed i virksomheden: Sådan får du et bedre forsvar mod de mange trusler

Flere tusinde it-ledere meldte for nylig i en ny stor undersøgelse ud, at sikkerhedstruslen aldrig har været mere alvorlig. Det er dog langt fra kun de cyberkriminelle, der giver søvnløse nætter. Vi sætter fokus på sikkerhed i virksomheden i 2017.

31. oktober 2017 | Læs mere






Computerworld
Retten ophæver navneforbuddet i Atea-sagen: Her er de syv tiltalte
Østre Landsret har netop besluttet at ophæve navneforbuddet i Atea-sagen. Det betyder, at offentligheden nu må se navnene på de tiltalte i sagen.
CIO
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm"
"På 11 minutter blev vores computere ramt af den frygtede Petya ransomware-skærm. Først troede vi, at det bare ville blive en aften uden email, og at de ville fikse det i løbet af natten. Men næste morgen var der krisemøde, og vi fik at vide, at vi ville være nede i lang tid."
Comon
Oversigt: Her er de bedste Android-smartphones der kan købes i Danmark
Det vrimler med spændende Android-smartphones på markedet. Vi har samlet en oversigt over de bedste Android-telefoner, du kan købe herhjemme netop nu.
Job & Karriere
IBM’s Watson har gennemlæst 600 jobopslag, og snart kan der blive vendt op og ned på vores jobsøgning
Kunstig intelligens kan forandre den måde virksomheder rekrutterer på. Derfor har IBM netop gennemført et stort forsøg med Danmarks største erhvervsskole.
White paper
Sådan anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø
Dette whitepaper gennemgår hvordan du anvender du Microsofts Assessment og Planning Toolkit i dit it-miljø og kommer med specifikke råd og konkret vejledning til anvendelsen.