Proponha uma correção, faça uma sugestão
Google descobriu falha no SSL e a Web voltou a não estar segura
A segurança na Internet é sempre um pressuposto que não deve ser tido como lei e os utilizadores devem estar sempre atentos a problemas que surgem e que podem comprometer as suas navegações.
Um novo problema agora descoberto veio revelar que o protocolos de cifra das comunicações da Internet tem um bug grave e que pode colocar em risco a segurança das comunicações.
O SSL 3 tem uma falha grave de segurança e pode ser facilmente explorada para obter dados que os utilizadores pensam estarem a circular cifrados.
A descoberta agora feita veio revelar que existe um problema com um dos protocolos de cifra das comunicações entre os clientes e os servidores, tornando essa comunicação passível de ser obtida e decifrada.
Foi um grupo de investigadores da Google que anunciou agora a falha e que revelou ao mundo o bug que o SSL 3 tem, deixando expostos todos os utilizadores que usam esta versão do protocolo de cifra para a comunicação segura.
O anúncio foi feito com a publicação de um PDF onde todo o processo e a falha são explicados com o pormenor necessário para que possa ser entendido.
De forma simples o processo passa por obrigar o cliente a realizar um downgrade no protocolo de cifra, indicando-lhe que não é possível usar o mais seguro TLS (Transport Layer Security) e forçando a utilização do protocolo de cifra SSL, na versão 3.
Uma vez forçada esta comunicação com este protocolo, e usando um ataque man-in-the-middle, é iniciado o processo de recolha de cookies seguras mas que podem ser decifradas. O nome dado pela Google a este ataque é POODLE (Padding Oracle On Downgraded Legacy Encryption).
Para já a única forma que é recomendada para garantir a segurança dos utilizadores e dos seus dados é a não utilização do SSL 3, desactivando-o nos browsers e também nos servidores.
Ao fazerem esta mudança tanto os clientes como os servidores vão passar a usar o TLS, que é uma versão muito mais segura do protocolo de cifra de comunicações.
A Google vai iniciar muito em breve a implementação de mecanismos que permitam a passagem entre estes modos de comunicação segura, garantindo que apenas o protocolo TLS vai ser usado, sempre que possível.
Espera-se que outras empresas que mantêm browsers tomem as mesmas medidas e que implementem mecanismos semelhantes, garantindo assim a segurança das comunicações dos utilizadores.
Este é apenas mais um problema a juntar aos recentes que foram descobertos. Mostram que a Internet é um local onde a informação circula livremente, mas que tem ainda muitas fragilidades e que facilmente os dados dos utilizadores podem ser capturados e usados para proveito próprio.
Este artigo tem mais de um ano
Loading ...
Vai melhorar a segurança para TSL.
Estes avanços são importantes porque os melhores hackers já estão a tirar proveito disto a algum tempo.
venha o próximo alvo a segurar
Não consigo perceber como é que o Android ainda domina o mundo dos dispositivos móveis.
S.O. mais inseguro e mais instável não há. E dá provas disso quase todas as semanas.
O Windows Phone 8.1 é muito mais seguro, para além de muito mais fluido e eficiente.
Foi uma excelente evolução deixar o Android e começar a usar o Windows Phone 8.1, ainda que, com um smartphone com hardware ligeiramente inferior.
O mesmo se pode dizer da ignorância 🙂
X2
Mas que raio tem isso a ver pah?!
Oh santa ignorância.
Falam-se de alhos e ele traz bugalhos.
O teu WP 8.1 deve ser mais seguro sem dúvida.. tendo em conta o número baixo de utilizadores (comparando com android e iphone), quem é que quer atacar isso neh?!
Caladinho és poeta.
epá mas tu caíste de alguma nuvem ou comes mrd às colheres?!o k é k o android é praki chamado?!
Pela hora a que fez comentário, o filho do Columbano Bordal Pinheiro, fez este comentário durante uma crise de sonambulismo ou, enganou-se no tema, ou não sabe do que fala os as três coisas juntas.
Este comentário está totalmente desenquadrado.
De todo o modo, não me parece que o uso de certa linguagem ajude o “Povinho” Português a ser mais informado sobre tecnologia.
Descupem a gafe. De facto o pai do Zé Povinho é o Rafael Bordalo Pinheiro e não o Columbano. Mas não consta que um ou outro tivessem problemas devidos a falhas no SSL…
E também no contexto de segurança vejam o que disse recentemente Edward Snowden:
http://www.noticiasaominuto.com/tech/289867/afastem-se-do-dropbox-facebook-e-google-diz-snowden
A questão é que o SSL continua a ser o certificado mais utilizado do mundo. Mesmo que o browser tente utilizar o TLS, se o servidor só estiver a utilizar SSL, nada a fazer.
Qualquer das formas, as maiores empresas/serviços web, normalmente já utilizam TLS.
e como é desativamos o SS3 no chrome por exemplo?
Podes pensar em fazer isso mas se o site nao tiver segurança superior, passas a usar a inferior, e isso é mto pior 🙂
Faz como eu.. fica quietinho que é melhor.
Nada é 100% seguro e não. Faz o que podes e nada mais 😀
O Google planeia retirar completamente o suporte ao SSL 3.0 nos próximos meses, sendo que isso poderá causar alguns problemas em sites mais antigos, que terão que se actualizar; e também a Mozilla vai fazer o mesmo no seu Firefox. O fim anunciado do SSL? Acho que sim.
os bancos não usam SSL 3? Pergunto.
Pq se usam.. dúvido que seja mesmo o fim.
Mas obviamente que a última palavra pertence aos browsers.
Se o banco ainda usa SSL3 no seu web site, não o deveria utilizar… a menos que use por exemplo o Firefox (“about:config” > “security.tls.version.min” meter no valor: “1”) ou o Internet Explorer e altere nas opções para só usar TLS 1.0 para cima (TLS 1.0, TLS 1.1 e TLS 1.2… preferencialmente deveria ser só TLS 1.2 nesta altura, mas 90% dos web sites seguros deixavam de estar acessíveis infelizmente).
Os web sites bancários que só usem SSL 3.0 (era o caso da CGD, parece-me, à uns tempos… e continua a não aceitar ligações TLS 1.1 e TLS 1.2… imagino que não tenham dinheiro para atualizar os servidores os coitadinhos, o dinheirinho vai todo para o BES e outros lados) devem ir ao banco e cancelar a conta via Internet, e dizer que enquanto não apostarem na segurança a sério não usam mais o banco online.
Vamos ver se se confirmam os rumores sobre browsers. Se se confirmarem é o principio do fim e os bancos e outros sítios terão de se adaptar ou ficar com um problema. Por isso disse “acho”, porque é só uma opinião pessoal baseada em outras informações também. Mas vale o que vale.
Quais rumores sobre browsers,”Abílio” ??
Sim a banca usa está versão SSL
Fiquei a perceber que as ligações em ssl3 sao em plain text.
A última versão do Firefox (v33) não é vulnerável: https://www.poodletest.com/
Erm… agora já aparece vulnerável. Entretanto, a própria Mozilla já lançou um fix/addon temporário: https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
Aposto que esse addon, só vai alterar uma linha de configuração no about:config. Para quê instalar tralha? 😀
Viva, caros amigos, calma. “Isto” só se aplica no caso de existir um ataque man in the middle. Ou seja, alguem dentro da mesma rede que vocês, tentar manipular a vossa ligação de forma a interceptar o seu conteúdo. Probabilidade disso acontecer, hmm digam-me vocês. Pergunta: Costumam aceder a serviços que requerem muita privacidade (bancos, seguranca social etc) em locais publicos ou prupícios a ataques? bem, vocês lá sabem.
Quanto ao SSLv3, é de facto um protocolo deprecated. Muitos dos webservers são “Obrigados” a manter a retro-compatibilidade para este protocolo de forma a permitir que os utilizadores que utilizem browsers/sistemas operativos antigos consigam aceder ao serviço. (Imaginam a quantidade de empresas que ainda usam o windows xp? o internet explorer 9? ou tretas do genero), activar apenas o TLS 1.2 ou vá… dar suporte ao TLS 1.0, 1.1 e 1.2 seria estar a pedir reclamações. Este é o motivo de se manter esta retro-compatibilidade.
Quanto aos handshakes feitos pelos browsers, infelizmente by default, se o server suportar SSLv3 e o browser também, este irá optar por esta versão, mesmo quando ambos suportam TLS1.2. Isto tem a ver com as definições dos browsers e mais uma vez com a gestão de erros e etc. O SSLv3 é mais antigo e portanto irá garantir mais estabilidade nos handshakes. Um fix para isso já foi dito aí a cima. (Firefox: basta acederem ao about:config e alterarem o “security.tls.version.min” para 1.)
Cumprimentos
Olá pessoal….tenho uma dúvida:
Tenho um sistema embarcado que utiliza o serviço de GCM do google. Este sistema utiliza SSLV3. Alguém tem algum pronunciamento oficial do google informando se vai realmente, e quando vai desabilitar o SSLV3 de seus serviços?
Tudo isto são metáforas! Os sistemas operativos podem ser “lidos” e qualquer um entrar dentro de outro sistema operativo… Creio que serão precisos muitos anos para que miúdos de seis ou sete anos com alguns conhecimentos definitivamente se torne improvável não espiar ou simplesmente brincar com dados alheios. Só tecnologia bem melhor!