SZYBKI TEST
Zabezpieczenie przed atakiem DROWN

Jak wygląda przygotowanie polskich dostawców hostingu
na zagrożenie atakiem DROWN?



LP Firma Wynik testu
1

Smarthost.pl

A+
Raport szczegółowy
2

NetDC

A+
Raport szczegółowy
3

SuperHost

A+
Raport szczegółowy
4

Nazwa.pl

A
Raport szczegółowy
5

Zenbox.pl

A
Raport szczegółowy
6

Kei.pl

A
Raport szczegółowy
7

Linuxpl.com

A
Raport szczegółowy
8

OVH.pl

A-
Raport szczegółowy
9

Home.pl

A-
Raport szczegółowy
10

Poczta Polska

B
Raport szczegółowy
11

AZ.pl

B
Raport szczegółowy
12

Hekko.pl

C
Raport szczegółowy
13

MyDevil

C
Raport szczegółowy
14

Ogicom

F
Raport szczegółowy
15

Biznes-Host

F
Raport szczegółowy

Klucz SSL w wersji 2 czasy świetności ma już dawno za sobą. Liczy sobie dwie dekady i wydawałoby się, że odszedł w zapomnienie. Okazuje się jednak, że mocno nieaktualna wersja nadal pozostaje na ogromnej ilości serwerów. Według statystyk zebranych przez Dana Goodina z Ars Technica nawet 11 mln serwerów może być podatnych na atak o nazwie DROWN (http://arstechnica.com/security/2016/03/more-than-13-million-https-websites-imperiled-by-new-decryption-attack). Od początku marca 2016 roku działa strona, który porządkuję całą dostępną wiedzą o ataku (https://drownattack.com/drown-attack-paper.pdf).


Zagrożenie wiąże się z komunikacją w oparciu o TLS wykorzystującej klucze RSA i SSLv2. Przejęcie zaszyfrowanej łączności możliwe jest nie tylko na serwerach, które posiadają aktywny protokół sprzed lat, ale także na umożliwiających użytkownikowi jego aktywację.


Furtka w OpenSSL w praktyce ogranicza swoją dostępność do służb specjalnych i operatorów, ponieważ atakujący musi znaleźć się na trasie między serwerem a atakowanym. Przeciętny użytkownik internetu ma niewielkie pole manewru - atak wiąże się z słabością zabezpieczeń serwerowych po stronie operatora.


Jak wygląda bezpieczeństwo polskich dostawców hostingów wobec zagrożenia atakiem DROWN? Dzięki SSL Server Test udostępnionym przez Qualys SSL Labs zebraliśmy wyniki najpopularniejszych firm hostingowych. Test został wykonany (18.03.16). Każdy z operatorów miał więc czas na niezbędne poprawki.

Zabezpieczenie przed atakiem DROWN

Atak DROWN – miesiąc później

Dziura bezpieczeństwa, związana z nieaktualnymi protokołami SSL, odbiła się szerokim echem na blogach technologicznych. Informacja o „furtce” do serwerów, mimo jej nikłej możliwości otwarcia z powodu stopnia zaawansowania całej operacji, wywołała spore zainteresowanie także po stronie zwykłych użytkowników internetu.

Wychodząc naprzeciw wzrostom zainteresowania na temat bezpieczeństwa serwerów, z których korzystają polscy internauci, zebraliśmy wyniki testów związanych z podatnością na atak DROWN najpopularniejszych dostawców hostingu w Polsce. Test wykonaliśmy świeżo po ogłoszeniu pierwszych informacji o nowym zagrożeniu. Na początku marca część z polskich dostawców nie była w pełni przygotowana pod względem bezpieczeństwa, co można zobaczyć w naszym teście z tamtego dnia.

Kolejny nasz test, wykonany ponad 2 tygodnie później, pokazał znaczącą poprawę. Prawie wszyscy dostawcy usług hostingowych mogą pochwalić się choć częściową odpornością na atak DROWN. Większość z nich wypada w ponownych testach bardzo dobrze. Doszły do nas pogłoski, że część usługodawców poprawiła swoje bezpieczeństwo w wyniku pytań klientów podających test HostingRaport.pl jako źródło.

Atak DROWN – miesiąc później