Trang chủ Tản mạn Lỗ hổng bảo mật DROWN - Hơn 11 triệu website sử dụng...

Lỗ hổng bảo mật DROWN – Hơn 11 triệu website sử dụng giao thức HTTPS có nguy cơ mất an toàn

Mới đây một lỗ hổng bảo mật nghiệm trọng đã được phát hiện trong OpenSSL. Lỗ hổng này được gán cho tên là DROWN. DROWN là từ viết tắt của: Decrypting RSA with Obsolete and Weakened eNcryption – Giải mã RSA có mã hóa lỗi thời và yếu.

lo-hong-bao-mat-drown-hon-11-trieu-website-su-dung-giao-thuc-https-co-nguy-co-mat-toan

DROWN được miêu tả là một cách tấn công chi phí thấp, nó có thể giải mã các liên lạc qua thao thức HTTPS chứa các thông tin nhạy cảm, bao gồm mật khẩu và thông tin thẻ tín dụng chỉ trong vài giờ, hoặc gần như ngay lập tức trong một số trường hợp. Các nhà nghiên cứu bảo mật cho biết rằng:

Chúng tôi đã có thể tấn công trở lại với những phiên bản OpenSSL dễ bị tổn thương CVE-2016-0703 với thời gian dưới 1 phút và chỉ dùng duy nhất 1 máy tính cá nhân. Ngay cả với những máy chủ không có những lỗ hổng đặc biệt theo mô tả chung nhưng cũng đang sử dụng bất kỳ SSLv2 thì vẫn bị khai thác trong vòng 8h và chi phí là khoảng $440

DROWN là cách thức tấn công xuyên giao thức, lợi dụng điểm yếu trong việc thực hiện SSLv2 với lớp an ninh truyền tải (TLS), và có thể “giải mã các phiên TLS từ máy khách cập nhật”. Tấn công DROWN có thể cho phép kẻ tấn công giải mã các kết nối HTTPS bằng cách gửi các gói tin độc hại đến một máy chủ hoặc nếu certificate được chia sẻ trên máy chủ khác, có khả năng thực hiện thành công tấn công Man-in-the-Middle.

Theo thông tin từ nhóm nghiên cứu thì DROWN có thể gây nguy hiểm cho hơn 11 triệu trang web và dịch vụ email đang sử dụng giao thức bảo mật cũ – Secure Sockets Layer (SSLv2).

OpenSSL là một công nghệ mã hóa được sử dụng rất phổ biến trên hàng triệu website để mã hóa việc truyền tin và bảo vệ các dữ liệu nhạy cảm như email, mật khẩu ngân hàng.

Huỳnh Mai Anh Kiệt (Theo THN)

Huỳnh Mai Anh Kiệthttps://www.mangbinhdinh.vn
Anh là một người đam mê công nghệ. Hiện tại anh là một lập trình viên tại Quy Nhơn.

BÌNH LUẬN

Vui lòng nhập bình luận của bạn
Vui lòng nhập tên của bạn ở đây

- Advertisment -
Shopify

BÀI VIẾT MỚI

Kiểm tra trình duyệt của khách có phải là Safari bằng PHP

Hôm rồi chợt nhận ra điều là Safari của Apple chưa hỗ trợ hiển thị ảnh WebP. Vậy là cái plugin Hura Apps Photos...

GitHub mua lại nền tảng npm

npm là đóng một phần quan trọng trong cộng đồng JavaScript. Cộng đồng npm trong 10 năm qua là sự đóng góp của hàng...

Youtube cho phép quảng cáo trên video có nội dung liên quan đến Covid-19

Trong một bài đăng trên blog, CEO Susan Wojcicki cho biết YouTube sẽ bắt đầu cho phép chạy quảng cáo trên các video thảo...

Kiểm tra khả năng bị lây nhiễm Covid-19 của bạn bằng trí tuệ nhân tạo

Trong bối cảnh Covid-19 đang lan rộng và khả năng lây nhiễm rất cao khi ta vô tình tiếp xúc với các người bị...

10 lời đồn sai về Covid-19

1. Ai nhiễm Covid-19 sẽ chết - Tỉ lệ tử vong hiện nay khoảng 3.4%. Người càng lớn tuổi tỉ lệ tử vong sẽ cao...

BẠN XEM CHƯA

Chữa dứt bệnh đau dạ dày bằng hạt đậu rồng già

Nếu răng bạn còn khỏe, hãy lấy hạt đậu rồng già, rang với muối cho vàng thơm hong để cháy. Sáng sớm bụng đói, nhai...

Học làm thật tốt những việc dễ, trước khi nghĩ đến những việc khó hơn

Trừ những người may mắn trúng số hoặc được thừa kế gia tài, ai muốn thành công cũng phải vượt qua những thách thức...

Loremipsum Generator – Mã nguồn PHP sinh văn bản tự động

Lorem Ipsum chỉ đơn giản là một đoạn văn bản giả, được dùng vào việc trình bày và dàn trang phục vụ cho in...

Con trai nghị sĩ của Nga bị kết án tại Mỹ vì hành động ăn cắp 2.9 triệu thẻ tín dụng

Roman Seleznev (32 tuổi), con trai một thành viên của Nghị viện Nga - Nghị sĩ Valery Seleznev vị bắt vào năm 2014 khi...

IM+ mang cả thế giới chat lên Windows 8

IM+ là dịch vụ hỗ trợ người dùng kết nối với các chương trình chat thông dụng như Yahoo! Messenger, AOL, ICQ, Facebook, Skype,…...