SSLv2 (CVE-2016-0800) Drown Zafiyeti

SSLv2 (CVE-2016-0800) Drown Zafiyeti

Internet üzerinde 13 milyondan fazla  sunucuyu  etkilediği tahmin edilen  yeni bir  zafiyet  açıklandı. Bu zafiyet  SSL/TLS ile  şifrelenen network trafiğinin dinlenilmesine  imkan sağlıyor.  Tespit edilen zafiyet  DROWN  olarak adlandırılıyor ve SSLv2 kullanan sistemleri etkiliyor.  Yayınlanan zafiyet ile birlikte aslında SSLv2'yi destekleyen sunucuların bu özelliğinden faydalanarak kullandıkları SSL şifresinin kırılabildiği ortaya çıktı. Yaklaşık 1000 üçlü el sıkışma ile  (Handshake)  trafiğin dinleyerek şifreli trafiği kırabileceği tespit edildi.

 

Şifreli kanal üzerinden man in the middle yani ortadaki adam saldırısı yaparak giden kritik e-mail, banka ve şifre güvenliği böylelikle dinlenebileceği anlaşılmaktadır.

 

Önlem olarak OpenSSL sürümlerini en günceline güncellemek, IIS 7.0 ve üzeri sürümlerde SSLv2 fabrika ayarlarında desteklenmemektedir. Eğer bu aktif edildi ise bunun disable edilmesi  Ayrıca SSLv2 kullanımını firewall cihazınızdan ve sunuculardan engellenmesi gerekmektedir.

 

Sunucunuzdaki Zafiyet Kontrolü için : https://drownattack.com/#check

 

sitesini kullanabilirsiniz. Ayrıca detaylı haber için:

 

http://thehackernews.com/2016/03/drown-attack-openssl-vulnerability.html



"SSLv2 (CVE-2016-0800) Drown Zafiyeti" Hakkında Kafanıza Takılanı Hemen Sorun

Çağrı Polat

Şu anda DEU Bilgisayar Mühendisliğinde Doktora yapmaktadır. " Kalıcı Gelişmiş Saldırılar ve Siber Güvenlik" üzerinde çalışmaktadır.


Bilgisayar Yüksek Mühendisidir. Ayrıca, Elektrik-Elektronik mühendisi ve İşletme bölümlerini bitirmiştir. Yüksek lisans tez konusu "kurumsal ağlarda sızma testleri ve önlemleri" idi.Akademik olarak da bilgi güvenliği üzerine çalışmaktadır.



Kariyerinin ilk yıllarında bilgi işlem sorumluluğu, sistem destek uzmanlığı yaptıktan sonra, IT manager, IT koordinator ve son 3 yılda da kurumsal firmalara bilgi güvenliği danışmanlığı yapmaktadır Yaklaşık 12 yıllık tecrübeye sahibidir.


9 uluslararası sınavda alınmış Microsoft sistem mühendisliği güvenlik sertifikasıyla birlikte, EC Council' den eğitim alarak CEH v9 sertifikasını almıştır. MCSE, CEH ve bilgi güvenliği başlıklarında bireysel ve kurumsal eğitimler ve seminerler vermektedir.


ISO27001:2013 BGYS konusunda baş denetçilik, eğitmenlik ve danışmanlık yapmaktadır. Ayrıca Bilirkişilik ve Kamulaştırma Bilirkişilik yetkilendirme belgesi sahibidir.