Os protocolos de criptografia, como SSL (Secure Socket Layer) e TLS (Transport Layer Security), são utilizados para fazer a troca criptografada de mensagens entre servidores e clientes. Isso faz com que o usuário acredite que ao utilizar um site com suporte https está seguro em relação a privacidade dos dados que trafegam na rede e, nem sempre, isso é verdade.
Embora o SSL atualmente seja um protocolo obsoleto, muitos servidores o mantém habilitado por questões de compatibilidade com a máquina cliente que pode não trabalhar com o TLS. Como os dois protocolos não inter-operam, muitas vezes o SSL é utilizado no lugar do TLS.
Manter habilitado em servidores protocolos antigos e não manter uma politica de atualização dos mesmos pode causar problemas graves de vazamento de informações. Assim como, da parte dos usuários, não atualizar os navegadores utilizados pode facilitar o trabalho de usuários maliciosos ou afetar a conexão a certos sites.
Algumas vulnerabilidades encontradas no SSL/TLS são:
DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
O ataque DROWN explora uma falha no protocolo SSLv2, afim de desencriptar sessões no protocolo TLS. No caso em questão, nem o servidor nem o usuário precisam utilizar o SSLv2, o protocolo só precisa estar habilitado no servidor para que o atacante explore uma falha que o auxilia a desencriptar o protocolo TLS.
Embora o SSLv2 já esteja em desuso pode estar habilitado em diversos servidores por questões de compatibilidade com versões antigas.
A empresa responsável pelo OpenSSL, uma das implementações mais utilizadas dos protocolos, já disponibilisou uma atualização que impossibilita o ataque.
Em servidores web do tipo Apache e Nginx podem ser necessário desabilitar o protocolo SSLv2 manualmente em versões mais antigas do que Apache 2.4.x e Nginx 0.8.19.
Para usuários Microsoft, o SSLv2 está habilitado por padrão apenas nas versões IIS 7.0 e 7.5 e pode ser desabilitado manualmente, o que é recomendado. Porém, mesmo que o usuário não desabilite o SSLv2, outras opções que possibilitam o ataque não são habilitadas por padrão.
Poodle (Padding Oracle On Downgraded Legacy Encryption).
O POODLE tem por objetivo forçar que a comunicação entre servidor e cliente seja criptografada através do SSLv3, que possui brechas na sua implementação. Pode-se dizer que a criptografia implementada no SSLv3 foi quebrada, logo, ao forçar a utilização desse protocolo, o atacante consegue decifrar as mensagens que trafegam do servidor para o cliente e vice-versa.
As versões acima de 1.0.0o e 1.0.1j do OpenSSL já possuem uma solução para o problema.
Para servidores que utilizem Apache e Nginx pode ser necessário desablitar o SSLv3 manualmente, em suas versões mais antigas.
HeartBleed Bug.
O HeartBleed é uma falha na implementação do OpenSSL, que permite ao atacante extrair informações trocadas entre o cliente e o servidor, do servidor. Dentre essas informações, podem estar inclusas informações sobre senhas, contas, etc.
É importante ressaltar que essa falha não é no protocolo SSL/TLS, mas sim no OpenSSL, que é uma implementação gratuita desses protocolos e extremamente difundida entre as aplicações. Qualquer servidor ou aplicação que utilize as versões afetadas para a conexão com clientes está vulnerável ao vazamento de informações. O OpenSSL já disponibiliza uma atualização para correção do problema na versão 1.0.1g. As versões 1.0.0 e 0.9.8 não foram afetadas.
Infelizmente, como esse problema afeta diretamente os servidores, não há soluções para o usuário além de esperar que os serviços que ele utiliza atualizem para versões que não possuem a vulnerabilidade e assim que o problema for corrigido, trocar suas senhas.
Soluções para clientes.
Para o usuário comum, uma boa pratica é manter o sistema do seu computador atualizado. Outra sugestão é desabilitar os protocolos obsoletos no navegador. O site https://poodle.io/browsers.html guia os usuários para forçar os navegadores a utilizarem apenas o protocolos superiores ao TLS 1.0.
Referências:
http://www.gta.ufrj.br/grad/11_1/tls/
https://www.openssl.org/~bodo/ssl-poodle.pdf
Por Beatriz de Andrade
Share this content:
using WordPress and
Comments are closed