Пароли не защищеныВ своей криптографической атаке международная исследовательская группа сделала ставку на старого друга: «SSLv2» — это предыдущая версия текущего протокола безопасности TLS и теперь считается небезопасной. «SSLv2 бездействует на многих серверах, хотя TLS уже давно используется», — говорит Юрай Соморовский из Института Хорста Горца в Бохуме. Старые версии были в основном заменены, но так и не были удалены полностью. Оказывается, серьезная ошибка: она создает шлюз, через который можно обойти механизмы безопасности TLS, оставляя незащищенными имена пользователей, пароли, номера кредитных карт и финансовые данные.
Затронуты 33 процента всех серверов.Исследователи просканировали всю сеть https и обнаружили, что прибл. Их атаке подверглись 33 процента всех серверов по всему миру, то есть 11,5 миллиона единиц.
Для проведения атаки требуется всего 440 долларов США. Исследователи вложили их в аренду графических карт с высокой вычислительной мощностью для атак в облаке AMAZON. «Из-за ошибки реализации мы смогли обойтись без дополнительных вычислительных мощностей, когда опробовали альтернативный вариант атаки», — рассказывает Соморовский.
Тактика бесплатного использования по-прежнему работает на 26% серверов по всему миру.Возможна охрана«От подобных атак можно защититься», — говорит Соморовский. Во-первых, веб-администраторы должны деактивировать протоколы SSLv2 на своих серверах. Кроме того, 1 марта 2016 года исследователи запустили веб-сайт www.drownattack.com, содержащий важные советы по безопасности.
Каждый может использовать его, чтобы проверить, безопасна ли его собственная веб-страница. Обнаруженная таким образом проблема безопасности — позорный пережиток: двадцать лет назад стандарт SSLv2 был намеренно запущен как не полностью безопасная версия из-за правил экспорта криптографии. «Мы должны учиться на ошибках прошлого», — заключает Соморовский. «Политически и экономически независимые стандарты интернет-безопасности незаменимы!»
Международное сотрудничествоВ последние месяцы команда под руководством Юрая Соморовского, Сюзанны Энгельс и профессора Кристофа Паара из Института Хорста Горца в Рурском университете Бохума сотрудничала с исследователями из университетов Мюнстера, Тель-Авива, Пенсильвании и Мичигана, а также с исследователями проекта Hashcat. и OpenSSL.
Атака под названием DROWN (Расшифровка RSA с помощью устаревшего и ослабленного eNcryption) станет ключевым вопросом, обсуждаемым на конференции der RuhrSec в Бохуме 29 апреля 2016 года.