jueves, 10 de marzo de 2016

The Drown Attack

The Drown Attack




Esta vulnerabilidad permite a un atacante romper el cifrado y leer o robar las comunicaciones sensibles, incluyendo contraseñas, números de tarjetas de crédito, los secretos comerciales o datos financieros. Nuestras mediciones indican un 33% de todos los servidores HTTPS son vulnerables al ataque.
Es una vulnerabilidad grave que afecta a HTTPS y otros servicios que dependen de SSL y TLS, son algunos de los protocolos criptográficos esenciales para la seguridad en Internet. Estos protocolos permiten que todos en Internet puedan navegar por la web, utilizar correo electrónico, tienda en línea, y enviar mensajes instantáneos, todo esto sin que existan terceros capaces de leer la comunicación… hasta ahora.

¿Qué pueden ganar los atacantes?

Obtener datos de cualquier comunicación entre los usuarios y el servidor, nombres de usuario y contraseñas, números de tarjetas de crédito, correos electrónicos, mensajes instantáneos y documentos sensibles. En algunos escenarios comunes, un atacante también puede hacerse pasar por un sitio web seguro e interceptar o modificar el contenido que el usuario ve.

¿Quién es vulnerable?

Sitios web, servidores de correo y otros servicios TLS-dependientes están en riesgo de ataque, y muchos sitios más populares se ven afectados.

¿Es mi sitio web vulnerable?

Servidores modernos y clientes usan el protocolo de cifrado TLS. Sin embargo, debido a errores de configuración, muchos servidores siguen usando SSLv2, un predecesor a TLS de la era de 1990. Clientes no actualizados siguen utilizando SSLv2, a pesar de que se sabe que es inseguro.

Solución !

Desactivar SSLv2 y actualizar a la última versión de OpenSSL.


No hay comentarios.:

Publicar un comentario

Populares