PREENCHA OS DADOS AO LADO

E saiba se seu site está vulnerável, além de como corrigi-lo!

DESCUBRA SE SEU SITE ESTÁ VULNERÁVEL, PREENCHA ABAIXO

Preencha corretamente os campos marcados

Enviando...

Prometemos não utilizar suas informações de contato para enviar qualquer tipo de SPAM.

O que é um DROWN?

 

DROWN é uma vulnerabilidade grave que afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos criptográficos essenciais para a segurança na Internet. Estes protocolos permitem que todos da Internet possam navegar na web, usar e-mail, fazer compras on-line, e enviar mensagens instantâneas sem terceiros ser capaz de ler a comunicação.

DROWN permite que atacantes quebrem a criptografia e leiam ou roubem informações confidenciais, incluindo senhas, números de cartão de crédito, segredos comerciais ou dados financeiros.

 

O que os atacantes ganham?

 

Qualquer comunicação entre usuários e o servidor. Isso normalmente inclui, mas não está limitado a, nomes de usuários e senhas, números de cartão de crédito, e-mails, mensagens instantâneas e documentos sensíveis. 

 

Quem está vulnerável?

 

Sites, servidores de correio e outros serviços TLS-dependentes estão em risco para o ataque de DROWN, e muitos sites populares são afetados também. 

 

E meu site está vulnerável?

 

Servidores modernos e clientes usam o protocolo de encriptação TLS. No entanto, devido a erros de configuração, muitos servidores também continuam a apoiar SSLv2, um predecessor dos anos 90 para TLS. Este suporte não importava, na prática, uma vez que clientes atualizados não usam o SSLv2. Portanto, mesmo que o SSLv2 fosse conhecido por ser inseguro, até agora, isso não era considerado um problema de segurança porque os clientes não utilizavam.

 

DROWN mostra que apenas suportar o SSLv2 já é uma ameaça para servidores modernos e clientes. Ele permite que um atacante possa descriptografar conexões TLS modernas entre clientes atualizados e servidores, enviando sondas para um servidor que suporta SSLv2 e usa a mesma chave privada.

 

 

Um servidor está vulnerável ao DROWN se:

 

 

  • Permite ligações SSLv2. Este é surpreendentemente comum, devido à configuração incorreta e configurações padrão inadequadas Estudos mostram que 17% dos servidores HTTPS ainda permitem conexões SSLv2.

 

Ou:
 
 
 

  • Sua chave privada é usada em qualquer outro servidor que permite conexões SSLv2, mesmo que para um outro protocolo. Muitas empresas reutilizam o mesmo certificado e chave em seus servidores web e e-mail, por exemplo. Neste caso, se o servidor de e-mail suporta SSLv2 e o servidor web não, um atacante pode tirar vantagem do servidor de e-mail para quebrar conexões TLS para o servidor web.

Como posso proteger o meu servidor? 

 

Para se proteger contra o DROWN, operadores de servidores precisam garantir que suas chaves privadas não são usados ​​em qualquer lugar com o software de servidor que permite conexões SSLv2. Isso inclui servidores web, servidores SMTP, servidores IMAP e POP, e qualquer outro software que suporta SSL / TLS.

 

Desabilitar SSLv2 pode ser complicado e depende do software do servidor específico. Vamos fornecer instruções para alguns produtos comuns:

 

 OpenSSL: OpenSSL é uma biblioteca de criptografia usado em muitos produtos de servidor. Para os usuários do OpenSSL, a solução mais fácil e recomendada é atualizar para uma versão recente do OpenSSL. OpenSSL 1.0.2 os usuários devem atualizar para 1.0.2g. OpenSSL 1.0.1 os usuários devem atualizar para 1.0.1s. Os usuários de versões mais antigas do OpenSSL devem atualizar para qualquer uma dessas versões. Mais detalhes podem ser encontrados neste post.

 

Microsoft IIS (Windows Server): IIS versões 7.0 e acima deveriam ter SSLv2 desativado por padrão. Um pequeno número de usuários pode ter habilitado SSLv2 manualmente e será necessário tomar medidas para desativá-lo. IIS versões abaixo de 7.0 não são mais suportados pela Microsoft e devem ser atualizadas para versões que sejam suportadas.

 

Serviços de segurança de rede (NSS): NSS é uma biblioteca de criptografia comum construída em muitos produtos de servidor. NSS versões 3.13 (lançado em 2012) e acima deveriam ter SSLv2 desativado por padrão. Um pequeno número de usuários pode ter habilitado SSLv2 manualmente e será necessário tomar medidas para desativá-lo. Os utilizadores de versões mais antigas devem atualizar para uma versão mais recente.

 

Outros software e sistemas operacionais afetados:

Instruções e informações para: Apache, Postfix, Nginx, Debian, Red Hat

 

Navegadores e outros clientes: Não há nada prático que navegadores da web ou outro software cliente pode fazer para evitar o DROWN. Somente os operadores de servidores são capazes de tomar medidas para proteger contra o ataque.

 

COMO VOCÊ ESTÁ SEGURO? 

CONHEÇA O MSS PROOF E SAIBA MAIS.

  • SECURITY OPERATION CENTER (SOC) 24X7
  • PORTAL DE SEGURANÇA  
  • SECURITY ANALYTICS
  • SECURITY AS A SERVICE (SAAS) 
  • CYBER THREAT INTELLIGENCE
  • MONITORAMENTO DE FRAUDES 
  • NGFW ADVANCED SERVICES 
  • PHISHING TRAINING
  • PROOF ID - ACCESS BEHAVIORAL VALIDATION