Miljoenen internetgebruikers worden geconfronteerd met het risico van cyberbedreigingen, aangezien beveiligingsonderzoekers een grote fout ontdekten in de beveiliging van de transportlaag die gebruikersnamen, wachtwoorden, bankgegevens en creditcards kan blootstellen aan aanvallen.
OpenSSL, de organisatie die verantwoordelijk is voor het onderhouden van een reeks versleutelingstools voor internet, heeft websites gevraagd om hun servers te repareren voordat de fout, genaamd DROWN, hun webverkeer ontsleutelt en de communicatie tussen gebruikers bespioneert door middel van man-in-the-intermediate aanvallen .
Volgens een groep onderzoekers die de kwetsbaarheid hebben ontdekt, kan een DROWN-aanval misbruik maken van de SSLv2-fout, een al lang bestaand cryptografieprobleem dat vandaag de dag nog steeds van invloed is op de computerbeveiliging. Het beveiligingslek wordt vervolgens gebruikt om een huidige TLS-sessie en zelfs eerdere sessies te decoderen.
De fout is het product van een reeks fouten die zijn gemaakt door mensen die TLS ontwikkelen, en het is jammer dat de meeste internetverbindingen als gevolg daarvan de dupe worden.
Een DROWN-aanval maakt gebruik van bugs in het SSLv2-protocol om beveiligde verbindingen die zijn gemaakt onder het TLS-protocol te verbreken. In een notendop, het SSLv2-protocol was kwetsbaar omdat de exportsuite niet is geconfigureerd om bekende aanvallen tegen te gaan, terwijl TLS zich tegen die aanvallen verdedigt, hoewel beide zijn ontworpen om RSA-codering te ondersteunen.
Op het moment van schrijven is een op de drie HTTPS-verbindingen blootgesteld aan aanvallers die ongepatchte webservers kunnen binnendringen en communicatie tussen twee gebruikers kunnen afluisteren. Dat is zo ver als de schattingen van beveiligingsonderzoekers. De kern van de kwetsbaarheid zijn twee verouderde versies van OpenSSL die tegenwoordig nog steeds door veel webservers worden gebruikt. Gelukkig implementeerde OpenSSL snel softwarefixes die waren ontworpen om het SSLv2-protocol standaard te verlammen en SSLv2-exportcoderingen te beëindigen.
De kwetsbaarheid is er al geruime tijd in oudere versies van het SSL-protocol, maar de nieuwste versie combineert de kreupele exportcryptografie met de achterdeurkwetsbaarheid. De combinatie van de twee resulteerde in een enorme fout die de hele bekende implementatie van SSLv2 verwoest. OpenSSL adviseert dat websites geen van beide protocollen meer moeten gebruiken, maar helaas wordt het tegenwoordig nog steeds veel gebruikt.
Deze fout in het SSLv2-protocol dateert eigenlijk uit cryptografie van exportkwaliteit uit de jaren negentig die werd ontwikkeld in overeenstemming met beperkingen die door de regering van de Verenigde Staten zijn ingesteld, wat betekent dat de kwetsbaarheid een indirect gevolg is van het voldoen aan de wens van de federale overheid om controle van de uitvoer. van cryptografie ten onrechte.
