Και μόλις ξεμπερδέψαμε με το Heartbleed, έρχεται το DROWN attack να απειλήσει για άλλη μια φορά την ασφάλεια των δεδομένων μας. Το DROWN είναι μια νέα ευπάθεια στο OpenSSL, που επηρεάζει servers που χρησιμοποιούν SSLv2 και αποκαλύφθηκε πριν από μερικές ημέρες σαν μια επίθεση που θα μπορούσε να αποκρυπτογραφήσει τις HTTPS επικοινωνίες, όπως κωδικούς αλλά και αριθμούς πιστωτικών καρτών. Πάνω από το 33% των servers είναι εκτεθειμένοι, αριθμός πολύ χαμηλότερος από το Heartbleed, αλλά εντυπωσιακά μεγάλος και πάλι.
Μέσα σε αυτά τα ευπαθή websites βρίσκονται τα πολύ γνωστά Yahoo, Alibaba, Weibo, BuzzFeed, Weather.com, Flickr και Samsung. Η συγκεκριμένη αδυναμία εμφανίστηκε σαν μέρος μιας αναβάθμισης του OpenSSL πριν από μερικές ημέρες, με το patch διόρθωσης να είναι ήδη έτοιμο.
Σύμφωνα με το website για το DROWN, η επίθεση μπορεί να κρατήσει λιγότερο από ένα λεπτό. Επιπροσθέτως, ρίχνει όλο το φταίξιμο για την ύπαρξή του στην κυβέρνηση των Η.Π.Α και στην χαλάρωση της κρυπτογράφησης που επέβαλλε τη δεκαετία του ’90.
Για να αμυνθεί κάποιος στην επίθεση, πρέπει να βεβαιωθεί ότι το SSLv2 είναι απενεργοποιημένο και να σιγουρευτεί ότι το private key δεν έχει διαμοιραστεί σε κανέναν άλλο server.
[via]