Artikel top billede

(Foto: Dan Jensen)

På tide at få ryddet op din infrastruktur: Sådan undgår du at drukne i DROWN-angreb

Klumme: Den seneste sårbarhed i SSL, DROWN, understreger, at det er på tide at rydde op i virksomhedernes krypteringsinfrastruktur.

For en måned siden offentliggjorde sikkerhedsforskere et alvorligt sikkerhedshul i krypteringsteknologierne SSL (Secure Sockets Layer) og TLS (Transport Layer Security).Ja, endnu et.

Som om Heartbleed, FREAK (Factoring attack on RSA-EXPORT Keys) og POODLE (Padding Oracle On Downgraded Legacy Encryption) ikke var nok.

Den seneste sårbarhed er naturligvis også udstyret med en sej forkortelse: DROWN (Decrypting RSA using Obsolete and Weakened eNcryption).

DROWN handler om at udnytte den notorisk usikre protokol SSL v2 til at få adgang til data krypteret med den ellers ganske sikre TLS-teknologi.

At SSL v2 er usikker, har været kendt i 20 år. Den er den første version af SSL-kryptering, der blev brugt i praksis. Koden stammer tilbage fra 1990'erne.

Så nemt kan den gøres usikker

Hidtil har man troet, at det var tilstrækkelig beskyttelse at sørge for, at SSL v2 ikke blev benyttet på ens servere.

Men DROWN-angrebet viser, at hvis der blot er installeret SSL v2 på en server, kan det gøre den usikker. En SSL v2 på en anden server kan sågar bruges til angreb på en TLS-server.

Angrebet udnytter en kombination af kendte og nyopdagede sårbarheder i SSL v2 til at knække kodningen af den nøgle, som kommunikationen krypteres med.

For at det kan lade sig gøre, skal angriberen have adgang til at aflytte kommunikationen og lagre de krypterede datapakker. Det kan lade sig gøre via et man-in-the-middle-angreb.

Pris: 440 dollar
Som regel bruger organisationer det samme certifikat til flere servere. Dermed er det også den samme nøgle, der beskytter kommunikationen.

Så et vellykket angreb på en server med SSL v2 gør, at angriberen nu kender nøglen i organisationens certifikat - der også bruges i TLS.

Det er dog ikke gratis. Der skal regnes en del, før man har knækket koden.

Krypteringsforsker Matthew Green anslår, at det kan gøres på et par timer for omkring 440 dollar på et cloud-system.

Og som han skriver: "Er dit login til banken 440 dollars værd? Sikkert ikke. Men andres er det nok."

Desuden findes der en variant af DROWN, hvor koden kan knækkes på et minut med blot en enkelt CPU-kerne.

Det kræver dog, at offeret anvender en udgave af OpenSSL fra før marts 2015.

Og her er vi ved mit budskab med denne måneds klumme: Se nu at få opdateret jeres krypteringssystemer!

Omkring halvdelen af de sårbarheder, vi i DKCERT møder i praksis, er relateret til SSL/TLS. Foruden gamle versioner og konfigurationsfejl kan det være forældede certifikater.

Tjek konfigurationen

En ting er at opdatere til den nyeste version af softwaren. En anden er at sikre, at den er konfigureret korrekt.

For eksempel skal I tjekke, at der ikke er nogen måde, hvorpå en angriber kan etablere en SSL v2-forbindelse til jeres systemer.

DROWN er det seneste eksempel på en sårbarhed relateret til kryptering.

Jeg tror desværre ikke, det er den sidste, vi får at se.

Sårbarheder i kryptering er alvorlige, fordi kryptering i dag er en uundværlig del af vores digitale liv.

Hver gang vores smartphones kommunikerer med en server, indgår der kryptering.

Din netbank er beskyttet med kryptering. Det samme gælder betalingskortsystemerne.

Derfor er det afgørende, at sikkerhedshuller i krypteringssystemer bliver lukket så hurtigt og effektivt som muligt.

Kryptering overalt

Tidligere var kryptering forbeholdt websider med fortrolig information.

I dag går tendensen mod at gøre kryptering til standard: Det skal bruges på alle forbindelser. Det så vi allerede for nogle år siden, da Google gik over til at tilbyde TLS-kryptering som standard på søgninger.

Senest er flere organisationer begyndt at tilbyde gratis servercertifikater. Det kan være med til at gøre teknologien endnu mere udbredt. Dermed stiger også kravene til, at den implementeres sikkert og korrekt.

Opdater nu

Jeg anbefaler, at I kører TLS 1.2 på alle systemer.

TLS 1.2 er fra 2008, men blev i 2011 opdateret, idet man fjernede bagudkompatibiliteten med SSL. Som det fremgår af ovenstående, var det fremsynet, men desværre ikke tilstrækkeligt.

TLS 1.3 er under udarbejdelse. Vær forberedt på at opdatere, når den en dag er færdigudviklet.

DKCERT (www.cert.dk) er et dansk Computer Security Incident Response Team, der håndterer sikkerhedshændelser på forskningsnettet.

I samarbejde med tilsvarende organisationer over hele verden indsamler DKCERT information om internetsikkerhed. DKCERT er en organisation i DeIC, DTU.

Henrik Larsen opdaterer en gang om måneden Computerworlds læsere med de seneste tendenser inden for informationssikkerhed.




Brancheguiden
Brancheguide logo
Opdateres dagligt:
Den største og
mest komplette
oversigt
over danske
it-virksomheder
Hvad kan de? Hvor store er de? Hvor bor de?
Ed A/S
Salg af hard- og software.

Nøgletal og mere info om virksomheden
Skal din virksomhed med i Guiden? Klik her

Kommende events
Sådan bruger du aktivt AI til at styrke din cybersikkerhedsindsats

Kan AI styrke din cybersikkerhed og forebygge f.eks. ransomwareangreb? Ja – og endda særdeles effektivt! På denne konference kan du blive klogere på, hvordan du i praksis anvender AI til at styrke dit sikkerhedsniveau – og gøre cyberbeskyttelsen mere fleksibel.

27. november 2024 | Læs mere


Styrk din virksomhed med relevant, pålidelig og ansvarlig AI integration med SAP

Kom og få indsigt i, hvordan du bruger AI til at transformere og effektivisere dine arbejdsgange. Vi kigger nærmere på AI-assistenten Joule, der vil revolutionere måden, brugerne interagere med SAP’s forretningssystemer. Og så får du konkret viden om, hvordan du kommer i gang med at bruge AI til at booste din forretningsudvikling.

03. december 2024 | Læs mere


Fyr op under vækst med dataanalyse, AI og innovation

Hvor langt er den datadrevne virksomhed nået i praksis? Det kan du høre om fra virksomheder, som har foretaget transformationen. Du kommer også til at høre, hvordan de anvender AI i processen, hvilke mål de har nået, hvordan de har høstet gevinsterne og hvilke nyskabelser, der er på vej i horisonten.

04. december 2024 | Læs mere