Pplware

Google descobriu falha no SSL e a Web voltou a não estar segura

A segurança na Internet é sempre um pressuposto que não deve ser tido como lei e os utilizadores devem estar sempre atentos a problemas que surgem e que podem comprometer as suas navegações.

Um novo problema agora descoberto veio revelar que o protocolos de cifra das comunicações da Internet tem um bug grave e que pode colocar em risco a segurança das comunicações.

O SSL 3 tem uma falha grave de segurança e pode ser facilmente explorada para obter dados que os utilizadores pensam estarem a circular cifrados.

A descoberta agora feita veio revelar que existe um problema com um dos protocolos de cifra das comunicações entre os clientes e os servidores, tornando essa comunicação passível de ser obtida e decifrada.

Foi um grupo de investigadores da Google que anunciou agora a falha e que revelou ao mundo o bug que o SSL 3 tem, deixando expostos todos os utilizadores que usam esta versão do protocolo de cifra para a comunicação segura.

O anúncio foi feito com a publicação de um PDF onde todo o processo e a falha são explicados com o pormenor necessário para que possa ser entendido.

De forma simples o processo passa por obrigar o cliente a realizar um downgrade no protocolo de cifra, indicando-lhe que não é possível usar o mais seguro TLS (Transport Layer Security) e forçando a utilização do protocolo de cifra SSL, na versão 3.

Uma vez forçada esta comunicação com este protocolo, e usando um ataque man-in-the-middle, é iniciado o processo de recolha de cookies seguras mas que podem ser decifradas. O nome dado pela Google a este ataque é POODLE (Padding Oracle On Downgraded Legacy Encryption).

Para já a única forma que é recomendada para garantir a segurança dos utilizadores e dos seus dados é a não utilização do SSL 3, desactivando-o nos browsers e também nos servidores.

Ao fazerem esta mudança tanto os clientes como os servidores vão passar a usar o TLS, que é uma versão muito mais segura do protocolo de cifra de comunicações.

A Google vai iniciar muito em breve a implementação de mecanismos que permitam a passagem entre estes modos de comunicação segura, garantindo que apenas o protocolo TLS vai ser usado, sempre que possível.

Espera-se que outras empresas que mantêm browsers tomem as mesmas medidas e que implementem mecanismos semelhantes, garantindo assim a segurança das comunicações dos utilizadores.

Este é apenas mais um problema a juntar aos recentes que foram descobertos. Mostram que a Internet é um local onde a informação circula livremente, mas que tem ainda muitas fragilidades e que facilmente os dados dos utilizadores podem ser capturados e usados para proveito próprio.

Exit mobile version