The Drown Attack

The Drown Attack




Esta vulnerabilidad permite a un atacante romper el cifrado y leer o robar las comunicaciones sensibles, incluyendo contraseñas, números de tarjetas de crédito, los secretos comerciales o datos financieros. Nuestras mediciones indican un 33% de todos los servidores HTTPS son vulnerables al ataque.
Es una vulnerabilidad grave que afecta a HTTPS y otros servicios que dependen de SSL y TLS, son algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que todos en Internet puedan navegar por la web, utilizar correo electrónico, tienda en línea, y enviar mensajes instantáneos, todo esto sin que existan terceros capaces de leer la comunicación… hasta ahora.

¿Qué pueden ganar los atacantes?

Obtener datos de cualquier comunicación entre los usuarios y el servidor, nombres de usuario y contraseñas, números de tarjetas de crédito, correos electrónicos, mensajes instantáneos y documentos sensibles. En algunos escenarios comunes, un atacante también puede hacerse pasar por un sitio web seguro e interceptar o modificar el contenido que el usuario ve.

¿Quién es vulnerable?

Sitios web, servidores de correo y otros servicios TLS-dependientes están en riesgo de ataque, y muchos sitios más populares se ven afectados.

¿Es mi sitio web vulnerable?

Servidores modernos y clientes usan el protocolo de cifrado TLS. Sin embargo, debido a errores de configuración, muchos servidores siguen usando SSLv2, un predecesor a TLS de la era de 1990. Clientes no actualizados siguen utilizando SSLv2, a pesar de que se sabe que es inseguro.

Solución !

Desactivar SSLv2 y actualizar a la última versión de OpenSSL.


Comentarios

Entradas más populares de este blog

¿Symantec venderá su negocio de certificados web?

¿Venderá Symantec su negocio de certificados web? Los únicos damnificados son los clientes.

¿Cuánto cuesta realmente un certificado SSL?