Factsheet DROWN kwetsbaarheid gepubliceerd

Op 1 maart heeft een groep onderzoekers de DROWN-aanvalstechnieken voor TLS gepresenteerd. Met DROWN maakt een aanvaller misbruik van (web)servers die nog SSL 2.0 ondersteunen. Servers die een kwetsbare versie van OpenSSL gebruiken zijn op dezelfde manier te misbruiken, ongeacht of ze SSL 2.0 ondersteunen. Een aanvaller die met TLS beveiligd netwerkverkeer weet te onderscheppen, kan dit verkeer proberen te kraken met behulp van de kwetsbare server. Hij kan daardoor het verkeer inzien.

Het Nationaal Cyber Security Centrum heeft een factsheet gepubliceerd met adviezen om DROWN-aanvallen te voorkomen.

Het NCSC en de IBD adviseren gemeenten in geval van een DROWN-kwetsbaarheid om TLS altijd te configureren op basis van de ICT-beveiligingsrichtlijnen voor Transport Layer Security. Schakel daarom SSL 2.0 uit, installeer de recentste updates van OpenSSL (van na 26-1-2016) en geef op servers de voorkeur aan cipher suites op basis van forward secrecy.

Meer informatie

Mocht u naar aanleiding van dit bericht vragen hebben dan kunt u contact opnemen met onze IBD-Helpdesk via 070 373 8011 of via info@IBDgemeenten.nl.