از سایتهای HTTPS آسیبپذیر به حملات Drown
از سایتهای HTTPS آسیبپذیر به حملات Drown
بر اساس گزارش The Next Web و سایت DROWN به آدرس https://drownattack.com، یک آسیبپذیری جدید میتواند به بیش از 33 از سایتهای HTTPS حمله کند، انها را نقض نماید و دادههای حساس شامل اسم کاربر، اسم رمز، و شمارههای کارتهای اعتباری آنان را سرقت کند. این مسئله شامل 25 از یکمیلیون دومینهای برتر دنیا مانند yahoo، Buzzfeed، Flickr و Samsung میباشد.
این آسیبپذیری DROWN نام دارد که یعنی (Decrypting RSA with Obsolete and Weakened eNcryption) یا بهعبارتیدیگر رمزگشایی RSA با رمزنگاری منسوخشده یا ضعیف. این آسیبپذیری بر روی سرورهایی که از SSLv2 certificate استفاده میکنند اثر دارد.
SSLv2 از سالهای 1990 وجود داشته است و آسیبپذیری آن سالها است که شناختهشده میباشد و به همین دلیل بسیاری از سرورها امروزه از پروتکل دیگری استفاده میکنند. اما بهتازگی مشخصشده است که SSLv2
برای سرورها و کلاینتهای مدرن نیز خطر محسوب میشود. شواهد نشان میدهد که سیاست تضعیف رمزنگاری دولت امریکا در سالهای اخیر باعث ضعیف شدن یکسوم امنیت در اینترنت و به وجود آمدن آسیبپذیریها شده است.
سایت شما درخطر است
برای اینکه ببینید که آیا سایت شما درخطر است به سایت Drown مراجعه کنید. اگر این خطر شمارا تهدید میکند پیشنهاد میشود که برای جلوگیری از حملات اقدامات فوری بر روی سرور خود داشته باشید. FAQ سایت Drown میگوید که برای مقابله با Drown بهتر است که کلیدهای خصوصی در هیچ جا با نرمافزارهای سرور که اجازه ارتباطات SSLv2 را میدهد استفاده نشود.
این مسئله شامل سرورهای وب، SMTP، IMAP، POP و هر نوع نرمافزار که از SSL/TSL پشتیبانی میکند را میشود.
بااینکه احتمال سوءاستفاده مجرمین.سایبری از این آسیبپذیری قبل از انتشار این مورد، بهتر است که هرگونه اقدامات پیشگیری اجرا شود.
