Rabitə və İnformasiya Texnologiyaları Nazirliyinin elektron xəbər xidməti
Yeni boşluq şifrlənmiş “HTTPS” protokolundan istifadə edən milyonlarla sayta təhlükədir
Server və brauzerlər arasında kommunikasiyanın şifrlənməsi üçün istifadə olunan açıq mənbə kodlu “OpenSSL” paketi yeni hücum tipinə məruz qalıb. “DROWN” adlandırılmış boşluq şifrlənmiş “HTTPS” protokolu üzrə məlumatların ötürülməsini təmin edən milyonlarla saytı təhlükə altına qoyur.
“ICTnews” Elektron Xəbər Xidməti “hitech.vesti.ru” saytına istinadən yazır ki, hakerlər “SSLv2” kriptoqrafiya protokolunda aşkarlanmış boşluqdan istifadə edərək internet trafikini ələ keçirib deşifr etməklə parol və kredit kartlarının nömrələrinə giriş əldə edə bilərlər. “SSLv2” protokolu “Yahoo!”, “Alibaba”, “Weibo”, “BuzzFeed”, “Weather.com”, “Flickr” və “Samsung” kimi İT şirkətlərinin serverlərində istifadə olunur.
“DROWN” hücumundan müdafiə olunmaq üçün sistem administratorlarına dərhal “SSLv2” protokolunu söndürmək və yeniləmə quraşdırmaq, yaxud “SSLv2” trafikinin filtrasiyası üçün fayervolu sazlamaq tövsiyə olunur.
“Ars Technica” saytının qiymətləndirməsinə görə, “HTTPS” protokolundan istifadə edən 11 milyon sayt və poçt xidməti “DROWN” hücumuna qarşı dayanıqsızdır.
Emil Hüseynov
02/03/16 Çap et