آسیب پذیری DROWN در واقع SSL/TLS را تحت تأثیر قرار می دهد امّا مانند Heartbleed نمی باشد.
برای دومین بار طی سال های اخیر، نقص بزرگی در رمزنگاری HTTPS مشخص شده است که این بار تحت عنوان DROWN نام گذاری شد و بیش از یازده میلیون سروری که از کتابخانه متن باز OpenSSL استفاده می نمایند را تحت تأثیر قرار داده است. با تمام این تفاسیر، این مورد همانند Heartbleed نمی باشد و قرار نیست به طور کامل تسلیم OpenSSL شویم.
DROWN به هکرها اجازه می دهد تا داده ها را با مانیتور نمودن SSLv2 Handshake رمزگشایی کنند. با توجه به اینکه در سال های گذشته نیز، از SSLv2 اعلام نارضایتی شده بود، بنابراین نباید این آسیب پذیری بزرگ باشد. بنا بر برخی گزارش ها، مشخص شده است که بسیاری از سرورها (یک سوم از تمامی وب سایت ها)، همچنان از SSLv2 پشتیبانی می کنند و این امر موجب می شود که آنها به طور بالقوه در معرض حمله DROWN قرار گیرند. اما مورد حادتر آن است که این حملات نه تنها وب سایت های رمزنگاری HTTPS را تحت تأثیر قرار می دهد، بلکه سرور های ایمیل نیز در خطر هستند.
آسیب پذیری DROWN ممکن است هر نرم افزار رمزنگاری که از SSLv2 پشتیبانی می کند را تحت تأثیر قرار دهد امّا با اعلام این تهدید، نگاه ها به سمت OpenSSL (کتابخانه رمزنگاری متن باز) می باشد که به طور گسترده مورد استفاده قرار می گیرد.
در یکم ماه مارس، توسعه دهندگان OpenSSL از Patch امنیتی خاصی برای مقابله با حملات DROWN استفاده کردند. همچنین این تهدید منجر به شک و تردیدهای فراوان در مورد OpenSSL شده است. برای برخی ناظران این سؤال مطرح شده است که با توجه به خطرات OpenSSL در آسیب پذیری های امنیتی که در طی سال های اخیر مشکلات فراوانی را به همراه داشته است، چرا همچنان از آن در اکثر وب سایت ها استفاده می شود. معروف ترین این آسیب پذیری ها، Heartbleed می باشد که با توجه به اشکال امنیتی دیگرِ OpenSSL که چند هفته پیش مشخص شد، Heartbleed تنها مورد نخواهد بود.
آقای Matt Green به عنوان یک رمز نگار می گوید: “برای من جالب است که هر سال یک یا دو آسیب پذیری در این قبیل پروتکل ها یافت می شود و این اتفاق نباید ادامه پیدا کند.”
با این حال، در این مورد عادلانه نیست که OpenSSL یا جامعه رمز نگاری منبع باز را برای این نقص سرزنش کنیم. نقص DROWN تنها مختص به OpenSSL نمی باشد و برخلاف Heartbleed، شامل نقص های بنیادی در رمزنگاری کدهای به ظاهر بی خطر نیست، بلکه از تنظیمات ضعیف سرورهایی که بر SSLv2 متکی هستند و امنیت ندارند، سرچشمه می گیرد .
Yehuda Lindell به عنوان بنیان گذار شرکت امنیتی Dyadic می گوید:” این نقص، یک Heartbleed دیگر نیست زیرا بهره برداری سوء از Heartbleed فوق العاده آسان بود. نقص DROWN یک حمله بسیار جدی است امّا می توان به راحتی از آن جلوگیری نمود.”
از دیدگاه Lindell، خطر واقعی از سرورهایی با پیکربندی ضعیف ناشی می شود و ربطی به توسعه دهندگان نرم افزار رمزنگاری همچون OpenSSL ندارد. وی افزود: “از مدت ها قبل توصیه شده است که SSLv2 یا حتی SSLv3 را غیر فعال کنید. این واقعیت که بسیاری از سرورها همچنان از آن پشتیبانی می کنند، خود نشان دهنده مشکل بزرگی است. افرادی که به مدیریت وب سایت ها می پردازند و در تأمین امنیت آنها نقش دارند، اغلب منابع مناسبی در اختیار ندارند تا به درستی به این موارد بپردازند.”
در انتها باید افزود که نقص DROWN را می توان مانند Heartbleed دانست و توسعه دهندگان رمزنگاری را سرزنش کرد، امّا این امر عادلانه نیست.
