Zaledwie wczoraj pisaliśmy o nowo odkrytym zagrożeniu czyhającym na użytkowników serwisów zabezpieczonych protokołem TLS (Transport Layer Security). Zagrożenie, nazwane DROWN (Decrypting RSA with Obsolete and Weakened eNcryption), wykorzystuje słabość implementacji protokołu TLS pozwalających na próby połączenia z użyciem starszego protokołu SSL, którego TLS jest następcą.

Pierwsze doniesienia mówiły o tym, że podatne na ataki może być około 8,5% spośród miliona największych serwisów internetowych. Jednak statystyka ta nie oddaje zagrożenia w pełni. Okazuje się, że zagrożona może być nawet jedna trzecia serwisów internetowych korzystających z protokołu HTTPS. Tak – tego, którego używają banki, sklepy internetowe, czy serwisy pocztowe.

Popularniejsze implementacje protokołu TLS, takie jak OpenSSL, zostały już załatane, jednak jeszcze sporo czasu upłynie zanim administratorzy poszczególnych serwisów wdrożą nowe zabezpieczenia. Najważniejsze dla zapewnienia bezpieczeństwa jest wyłączenie możliwości używania liczącego sobie już dwie dekady i podatnego na proste ataki typu brute force protokołu SSLv2. Dla wszystkich administratorów nie mających pewności czy stosowana przez nich implementacja protokołu TLS jest bezpieczna stworzona została już specjalna strona internetowa Drownattack.com.

[źródło i grafika: digitaltrends.com]