Tim sigurnosnih stručnjaka objavio je izvještaj o takozvanom DROWN propustu, Internet pošasti kakvu nismo vidjeli još od Heartbleeda. DROWN je sigurnosni propust u OpenSSL softveru i zbog toga zahvata više od 11 miliona HTTPS sajtova, a omogućuje presretanje zaštićenog saobraćaja.

Propust, naime, omogućuje dešifrovanje "enkriptiranih" Internet podataka, što uključuje i lozinke, bankovne podatke pri online kupovini, kao i chat poruke, email podatke i slično. Na DROWN je ranjivo više od 33 posto servera, a radi ilustracije šta ovo znači, najbolje je da pogledate listu nekih od zahvaćenih sajtova. Na njoj su neki od najposjećenijih sajtova na svijetu – između ostalog, Yahoo, Weibo, Flickr, Samsung, BuzzFeed, Alibaba, Indiatimes, 4Shared, Gemius.gl, Apache.org i mnogi drugi.

Dobra vijest je to da je OpenSSL zakrpa već dostupna. Loša vijest je to da je napad kojim je moguće iskoristiti DROWN propust lako izvesti, budući da napadači mogu presresti enkriptirani Internet saobraćaj u roku od jedne minute specijalno osmišljenim udaljenim ispitivanjem ranjivog servera.

U korijenu ovog problema leži SSLv2 protokol kojeg je potrebno ukloniti, jer preko njega napadači mogu hakirati servere koji koriste novije i sigurnije protokole.  

Na ovom linku možete provjeriti da li je određeni server ranjiv na DROWN.

1/1