Отправляет email-рассылки с помощью сервиса Sendsay
  Все выпуски  

Безопасность личной и корпоративной почты 9/10 VPN-серверов используют слабое SSL-шифрование


Надёжность шифрования в последнее время приобретает всё большее значение в деле предотвращения несанкционированного доступа к данным.

ИБ-компания High-Tech Bridge, уже известная своими изысканиями в области надёжности и безопасности SSL-шифрования общедоступных сервисов, провела и опубликовала исследование публичных SSL VPN-сервисов. В своей работе специалисты использовали SSL-сканер собственной разработки.

Обескураживающие результаты были получены после проверки более чем 10 тысяч наугад выбранных SSL VPN-серверов ведущих производителей, таких как Dell, Cisco и Fortinet. Как оказалось, 77% протестированных серверов до сих пор разрешают подключение по небезопасному протоколу SSLv3, а несколько десятков серверов и вовсе по древнему, не выдерживающему никакой критики, SSLv2. И это при том, что использование этих протоколов уже давно запрещено стандартами информационной безопасности, такими как PCI DSS и NIST SP 800-52.

Но использование устаревших протоколов это ещё цветочки, ягодки в том, что как выяснилось 76% (!) SSL VPN-серверов используют самоподписанные SSL-сертификаты, вместо выпущенных удостоверяющими центрами. То есть на ¾ серверов возможна атака типа «человек посередине» с подменой сертификата шифрования и дальнейшим перехватом трафика. Вместо современного алгоритма SHA-256 ненадёжный SHA-1 в подписи использован в 74% исследованных сертификатов, а в 5% случаев и вовсе взламываемый на раз MD5.

Подверженные взлому слишком короткие RSA-ключи длиной 1024 бита обнаружены в 41% SSL VPN-серверов, а на 10% применяется устаревшая версия OpenSSL, с неисправленным багом Heartbleed.

По результатам проверки высший балл надёжности шифрования SSL получили лишь 3% VPN-серверов, а 86% получили «кол».


В избранное