Ataque DROWN pone en riesgo sitios webs HTTPS

Ataque-DROWN-pone-en-riesgo-sitios-webs-HTTPS
Estándar

Un tercio de los ordenadores que utilizan el protocolo HTTPS son vulnerables al ataque DROWN, según investigadores.

Una vulnerabilidad presente en el 33 por ciento de todos los servidores HTTPS está exponiendo a miles de sitios a los llamados ataques DROWN, los hackers están descifrando las comunicaciones seguras de acceso y contraseñas, correos electrónicos y datos de su tarjeta de crédito.

DROWN son las siglas de ‘Decrypting RSA with Obsolete and Weakened Encryption’, y se aprovecha de los servidores que soportan conexiones SSLv2, de acuerdo con los investigadores universitarios que descubrieron la falla.

Mientras que los servidores modernos y clientes usan el protocolo de cifrado TLS, muchos siguen apoyando SSLv2, que se sabe que es inseguro, pero no se ha considerado un problema importante hasta ahora.

Todos los servidores que permiten conexiones SSLv2 corren el riesgo de DROWN. Los sitios populares afectados por la vulnerabilidad incluyen Yahoo, Weibo y BuzzFeed, pero los servidores de correo y servicios de TLS-dependientes también están en riesgo.

Los investigadores, que también incluyen a un miembro del equipo de seguridad de Google, apremia a los operadores de dichos servidores para aplicar un parche para la falla.

Ellos dijeron: “No tenemos ninguna razón para creer que DROWN ha sido explotada  antes de esta revelación. Puesto que los detalles de la vulnerabilidad son ahora públicos, los atacantes pueden empezar a explotar en cualquier momento”.

El informe fue desarrollado por investigadores de la Universidad de Tel Aviv, la Universidad de Münster, la Universidad Ruhr de Bochum, la Universidad de Pensilvania, el proyecto Hashcat, la Universidad de Michigan, Two Sigma, Google, y el proyecto OpenSSL.

Ellos no han revelado el código detrás de su teoría, asumiendo que demasiados servidores podrían quedar abierto a ataques si lo hacían.

(Fuente: The DROWN Attack )