DROWN – angrep på HTTPS ved bruk av sårbarheter i SSL v2

I en artikkel på DIGI i forrige uke beskrives et nytt angrep på HTTPS som utnytter sårbarheter i SSL v2. Angrepet, som kalles DROWN (Decrypting RSA using Obsolete and Weakened eNcryption!) er en ny type angrep som kan utnyttes mot 33% av alle HTTPS-servere i flg forskergruppen som har dokumentert dette. Her finner du flere detaljer om Drownattack.

Etter POODLE-angrepet i 2014 ble siste versjon av SSL-protokollen avskrevet, og erstattet av TLS. SSL v2 som er fra 1995 ble avskrevet som sikker protokoll lenge før dette. Det viser seg imidlertid at det tar (alt for) lang tid å bli kvitt utdaterte protokoller selv om de er erklært sårbare.

De fleste nettlesere støtter ikke lenger denne versjonen av protokollen, men det finnes dessverre svært mange servere som fortsatt er konfigurert til å aksepterer SSLv2. Dette utnyttes i DROWN-angrepet.

DROWN kan også angripe og knekke servere som tilsynelatende er riktig satt opp (med TLS), dersom disse serverne bruker samme kryptografiske nøkkel som en eller flere andre servere som aksepterer SSL v2.

Vår klare anbefaling:

  • Bruk ikke samme kryptografiske nøkler (og SSL-sertifikat) for flere formål/servere med ulik protokollstøtte.
  • Sjekk at dine servere er up to date ift hvilke protokoller som tillates brukt. Fjern foreldet teknologi før det blir en sårbarhet.

Eller som en kryptoekspert uttalte nylig: “You do not improve security by adding algorithms that are more secure, you only improve security by withdrawing weak algorithms”.

———————

SSL/TLS-protokollene definerer hvordan klient og server skal snakke sammen for å etablere en sikker kommunikasjonskanal.

SSL/TLS-sertifikatet benyttes for å bekrefte identiteten til nettstedet ved oppstart av en SSL/TLS-protokoll.

Det vi kaller SSL-sertifikat er altså ikke sterkt koblet til SSL-protokollen og SSL-sertifikatet fungerer utmerket også til bruk i TLS-protokollen.

Advertisements

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google+ photo

You are commenting using your Google+ account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s