Jelszavakat, személyes adatokat is veszélyeztethet egy internet biztonsági hiba

forrás: Prím Online, 2016. március 24. 13:19

Több openssl bug miatt kiszolgáltatottá válhat bármely szervezet, ha nem frissíti a web vagy levelező szerverét kiszolgáló openSSL szoftver beállításait.

A NETLOCK az elmúlt napokban már értesítette ügyfeleit minderről, majd saját ügyfélkörén és a hazai top100 weboldalon tesztelt: az eredmények alapján azt becsülik, hogy a magyar web- és levelező szerverek akár 15-20%-a lehet érintett. A NETLOCK ingyenes tesztszoftverével bárki ellenőrizheti web- vagy levelező szerverének beállításait.

 

Nem vírus, de a biztonsági kockázat magas

Az SSL egy internet biztonsági megoldás, amely arra szolgál, hogy web-szerverek esetén titkosítsa a weboldal tartalmát és a látogató által megadott adatokat, levelező-szerver esetén pedig az e-mailek tartalmát védje. Az elmúlt időszakban több hírportál is beszámolt arról, hogy egyes SSL-lel védett szerverek titkosítása könnyedén feltörhetővé vált.

 

„Az SSL egy bevált, nemzetközileg elismert biztonsági protokoll, azonban az elmúlt hetekben napvilágra került az a probléma, amely az SSL régebbi verzióin keresztül biztonsági rést kínál. Ez a probléma néhány szerverbeállítás módosításával megszüntethető, de nélküle kiszolgáltatottá válhat a szerver a támadások ellen.” – mondta el Molnár Ferenc a NETLOCK vezetője. A szolgáltató azok után, hogy minden ügyfelét tájékoztatta a problémáról, először saját ügyfélkörében lévő SSL és domain tartományokon indított tesztet, majd az általuk 100 legfontosabbnak ítélt hazai weboldalon is lefuttatta a szoftverét. Az eredmények alapján a NETLOCK úgy becsüli, hogy a hazai weboldalak 15-20%-a lehet sebezhető a DROWN néven ismertté vált probléma miatt.

 

„A legsúlyosabb gondot azokon az oldalakon okozhatja mindez, ahol ügyféladatok megadása történik, például regisztrációs felületen, webshopban vagy fizetéskor, mert az SSL feltörésével minden kommunikáció láthatóvá válik. Vagyis könnyedén megszerezhetik a hackerek az oldalon megadott személyes adatokat, jelszavakat. Szeretnénk minden weboldallal rendelkező vállalatnak, rendszergazda és informatikus kollégának segíteni, ezért tettük ingyenesen elérhetővé tesztszoftverünket.” – tette hozzá az informatikai biztonsági szakember. A NETLOCK ezen felül egy szakembereknek szóló tájékoztatót is összeállított, melynek segítségével a rendszergazdák könnyedén elvégezhetik a szükséges beállításokat. A NETLOCK SSL V2 protokoll ellenőrző szoftver és útmutató ingyenesen elérhető itt. (https://check.netlock.hu/)

 

A probléma szakmai háttere és lehetséges megoldása

Az openssl.org még februárban tett közé hivatalos felhívást weboldalán, mely szerint előre bejelentett magas szintű biztonsági frissítés várható a szoftverükben március 1-én. A közzé tett frissítés több más hibajavítással együtt véglegesen eltávolítja az SSLv2 protokollt.

 

Az eltávolítás két kritikus hiba miatt történik:

  1. Azon szerverek, ahol nem kapcsolták ki még az SSLv2 verziót, veszélyben vannak. A forgalom hatékonyan feltörhető, azaz minden levelező és web-szerver, ahol nincs kikapcsolva az SSLv2 érintett. Fontos, hogy a tanúsítvánnyal védett szerverek (levelező és web) mindegyikén ki legyen kapcsolva a protokoll, hogy a védettség fennálljon. 
  2. Azon szervereken, amelyeken 2015. március 19. előtti OpenSSL verzió található, az SSLv2 protokoll kikapcsolás sem feltétlenül segít, mert a régebbi verziók esetében ennek visszakapcsolását a támadó képes lehet kívülről megtenni. Azaz, ennél régebbi verziót sehol nem javasolt használni.

 

A NETLOCK ingyenes elemző alkalmazása jelenleg az első esetet vizsgálja, azt, hogy egyáltalán elérhető-e az SSLv2 protokoll. Az OpenSSL verziót minden esetben érdemes frissíteni - ahol ez még nem történt meg – illetve ha ez valamiért nem lehetséges, akkor javasolt a konfigurációból kitiltani az SSLv2-t. Mindezek mellett érdemes az SSLv3 kikapcsolása is, hiszen annak biztonsága is sérült; helyette a NETLOCK szakemberei azt javasolják, hogy TLS kriptográfiát, lehetőleg V1.1 vagy V1.2 verziót használjunk.

 

A NETLOCK szakértői a tesztszoftveren felül összeállítottak egy ajánlott szerver kriptográfiai konfigurációt (https://check.netlock.hu) is, amely az összes ismert hibára igyekszik megoldást adni. A linken különböző szerverekhez találhatóak optimális biztonsági beállítások.

 

Kulcsszavak: biztonság szerver NetLock

Színes ROVAT TOVÁBBI HÍREI

Már készülhetünk a 2020-as Szabadság Szigetére

Érdemes beírni a naptárba: 2020. augusztus 5-én indul az év legjobb hete, a Szabadság Szigetén. Aki a november 14-én déli 12 órától 24 órán át tartó “Szitizen Prime” akcióban vásárol bérletet a jövő évi Szigetre, nem csupán a legolcsóbban válthat hetijegyet, de exkluzív ajándékcsomagot is kap, a környezettudatosság jegyében.

2019. november 13. 11:30

A természetes fény és a beépíthető lámpák

A természetes fény lételemünk, pozitívan hat testi-lelki jóllétünkre. Nincs is szebb egy csodálatos napkelténél, mely beragyog otthonunk ablakán. A reggeli napfény képes az egész napunk hangulatát pozitívan befolyásolni. Viszont az évszakok és az időjárás váltakozása miatt sajnos nem érheti mindig kellő (nap)fény lakásunkat. Ezért is fontos nagy hangsúlyt fektetnünk a természetes és a mesterséges fények egyensúlyára. 

2019. október 16. 20:46

Az ideális őszi, otthoni program

Itt a zordabb, esős idő, tagadhatatlanul megérkezett az ősz. Még a gyerekek nagy kedvencét, a pocsolyákban való ugrálást is meg lehet unni egyszer. Ilyenkor a hűvös kinti program után nincs is jobb, mint a meleg szobában leülni és társasozni egy nagyot. Mikor a család apraja-nagyja összegyűlik, kezdődhet a maratoni társas party.

2019. október 16. 15:14

Sminkelés állatkísérletektől mentes készítményekkel

A The Body Shop egyértelműen elkötelezett az igazán fontos dolgok mellett. Ennek megfelelően az általuk forgalmazott valamennyi smink készítmény teljes egészében mentes az állatkísérletektől.

2019. október 16. 13:12

Brit Care kutyaeledel

A rohanó világ és a modernizáció nemcsak minket, embereket érint olykor negatívan, hanem házi kedvenceinket is. Korunk népbetegségei – a keringési- és szívpanaszok, a daganatos megbetegedések vagy a cukorbetegség – visszavezethetők a stresszes életmódra. Gyógyításuk pedig sajnálatos módon sok esetben nem lehetséges, vagy nagy költségekkel jár.

2019. október 15. 18:17

Kövess minket a Facebookon!

Cikkgyűjtő

További fontos híreink

Százmillió eurót fektet be az európai mesterséges intelligencia programba a Huawei

2019. november 8. 10:07

Az Antenna Hungária megvásárolta a Telenor Magyarország 25%-át

2019. november 1. 08:32

Idén is keresik az év fiatal vezetőjét!

2019. október 22. 13:26

Újabb mérföldkő a hazai digitális oktatásban

2019. október 10. 18:44
online sportfogadás