Artikel top billede

På tide at få ryddet op din infrastruktur: Sådan undgår du at drukne i DROWN-angreb

Klumme: Den seneste sårbarhed i SSL, DROWN, understreger, at det er på tide at rydde op i virksomhedernes krypteringsinfrastruktur.

For en måned siden offentliggjorde sikkerhedsforskere et alvorligt sikkerhedshul i krypteringsteknologierne SSL (Secure Sockets Layer) og TLS (Transport Layer Security).Ja, endnu et.

Som om Heartbleed, FREAK (Factoring attack on RSA-EXPORT Keys) og POODLE (Padding Oracle On Downgraded Legacy Encryption) ikke var nok.

Den seneste sårbarhed er naturligvis også udstyret med en sej forkortelse: DROWN (Decrypting RSA using Obsolete and Weakened eNcryption).

DROWN handler om at udnytte den notorisk usikre protokol SSL v2 til at få adgang til data krypteret med den ellers ganske sikre TLS-teknologi.

At SSL v2 er usikker, har været kendt i 20 år. Den er den første version af SSL-kryptering, der blev brugt i praksis. Koden stammer tilbage fra 1990'erne.

Så nemt kan den gøres usikker

Hidtil har man troet, at det var tilstrækkelig beskyttelse at sørge for, at SSL v2 ikke blev benyttet på ens servere.

Men DROWN-angrebet viser, at hvis der blot er installeret SSL v2 på en server, kan det gøre den usikker. En SSL v2 på en anden server kan sågar bruges til angreb på en TLS-server.

Angrebet udnytter en kombination af kendte og nyopdagede sårbarheder i SSL v2 til at knække kodningen af den nøgle, som kommunikationen krypteres med.

For at det kan lade sig gøre, skal angriberen have adgang til at aflytte kommunikationen og lagre de krypterede datapakker. Det kan lade sig gøre via et man-in-the-middle-angreb.

Pris: 440 dollar
Som regel bruger organisationer det samme certifikat til flere servere. Dermed er det også den samme nøgle, der beskytter kommunikationen.

Så et vellykket angreb på en server med SSL v2 gør, at angriberen nu kender nøglen i organisationens certifikat - der også bruges i TLS.

Det er dog ikke gratis. Der skal regnes en del, før man har knækket koden.

Krypteringsforsker Matthew Green anslår, at det kan gøres på et par timer for omkring 440 dollar på et cloud-system.

Og som han skriver: "Er dit login til banken 440 dollars værd? Sikkert ikke. Men andres er det nok."

Desuden findes der en variant af DROWN, hvor koden kan knækkes på et minut med blot en enkelt CPU-kerne.

Det kræver dog, at offeret anvender en udgave af OpenSSL fra før marts 2015.

Og her er vi ved mit budskab med denne måneds klumme: Se nu at få opdateret jeres krypteringssystemer!

Omkring halvdelen af de sårbarheder, vi i DKCERT møder i praksis, er relateret til SSL/TLS. Foruden gamle versioner og konfigurationsfejl kan det være forældede certifikater.

Tjek konfigurationen

En ting er at opdatere til den nyeste version af softwaren. En anden er at sikre, at den er konfigureret korrekt.

For eksempel skal I tjekke, at der ikke er nogen måde, hvorpå en angriber kan etablere en SSL v2-forbindelse til jeres systemer.

DROWN er det seneste eksempel på en sårbarhed relateret til kryptering.

Jeg tror desværre ikke, det er den sidste, vi får at se.

Sårbarheder i kryptering er alvorlige, fordi kryptering i dag er en uundværlig del af vores digitale liv.

Hver gang vores smartphones kommunikerer med en server, indgår der kryptering.

Din netbank er beskyttet med kryptering. Det samme gælder betalingskortsystemerne.

Derfor er det afgørende, at sikkerhedshuller i krypteringssystemer bliver lukket så hurtigt og effektivt som muligt.

Kryptering overalt

Tidligere var kryptering forbeholdt websider med fortrolig information.

I dag går tendensen mod at gøre kryptering til standard: Det skal bruges på alle forbindelser. Det så vi allerede for nogle år siden, da Google gik over til at tilbyde TLS-kryptering som standard på søgninger.

Senest er flere organisationer begyndt at tilbyde gratis servercertifikater. Det kan være med til at gøre teknologien endnu mere udbredt. Dermed stiger også kravene til, at den implementeres sikkert og korrekt.

Opdater nu

Jeg anbefaler, at I kører TLS 1.2 på alle systemer.

TLS 1.2 er fra 2008, men blev i 2011 opdateret, idet man fjernede bagudkompatibiliteten med SSL. Som det fremgår af ovenstående, var det fremsynet, men desværre ikke tilstrækkeligt.

TLS 1.3 er under udarbejdelse. Vær forberedt på at opdatere, når den en dag er færdigudviklet.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
JN Data A/S
Driver og udvikler it-systemer for finanssektoren.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Computerworld Summit 2021

En moderne digital vindervirksomhed bringer nye teknologier i spil, skaber digital innovation, udnytter data som styringsværktøj og ser verden som én stor markedsplads. Men succes kræver, at du ved, hvor den dyre teknologi kan gøre den største forskel i forretningen. Den kræver, at du ved i hvilken retning den øgede politiske regulering af teknologi og data bevæger sig hen. Og den succes kræver, at du kan udnytte teknologien til at automatisere og skalere til gavn for bundlinjen og budgettet.

26. oktober 2021 | Læs mere


Sats på DevOps og få mere kvalitet og hastighed i både udvikling og drift

Der er mange potentielle gevinster at hente ved at satse på DevOps. Rigtig mange danske virksomheder er allerede i gang. På denne konference får du et indblik i mulighederne med DevOps og gode råd, der kan sikre dig succesen.

02. november 2021 | Læs mere


CIO Trends 2021: Sådan ser teknologiradaren ud hos Danmarks bedste CIOs

Teknologien i virksomheder spiller i den grad en større og større rolle, hvor vi er nødt til at stille endnu større krav til, hvordan vi udnytter den, og hvilke muligheder den giver. Spørgsmålet er dog, hvordan man formår at lede en virksomhed, der konstant skal forholde sig til teknologiens forandringer.

16. november 2021 | Læs mere