PplWare Mobile

Investigadores quebram criptografia SSL

                                    
                                

Este artigo tem mais de um ano


Autor: Pedro Pinto


  1. Algarvio says:

    Já Foste…..

    • TelmoN says:

      Ou seja…. eles têm acesso ao que quiserem? Lindo… :O

      • ProteusDG says:

        Não é ter acesso ao que quiserem. Não entram em lado algum com isso! O que conseguem fazer é identificar a informacao que passa entre 2 computadores por um canal “seguro”. Podem por exemplo fazer-se passar por outra pessoa quando acedem a um banco ou pagamento online.

  2. Jorge Rodrigues says:

    ou seja em resumo eles conseguiram aceder á informação mas de uma versão anterior… ??
    tenho as minhas dúvidas que os bancos e outras entidades ainda usem essa versão …

  3. Gustavo says:

    “os investigadores tailandeses Thai Duong e Juliano Rizzo” … o Juliano mais me parece argentino.
    Mas claro que como os argentinos sofrem de preconceito no mundo inteiro … vai gostar de ser chamado tailandês 🙂

  4. NYyankee says:

    Acabei de ver, a CGD usa TLS 1.0 😐

    • José Pedro Dias says:

      Pelo que vi, a CGD usa SSL 3.0… n vi nenhum TLS 1.0!

      • Peludo says:

        CGD:

        Não crítico
        Autenticação de servidor web TLS (1.3.6.1.5.5.7.3.1)
        Autenticação de cliente web TLS (1.3.6.1.5.5.7.3.2)
        Cifra conduzida por servidor Netscape (2.16.840.1.113730.4.1)

        BPI:

        Não crítico
        Autenticação de servidor web TLS (1.3.6.1.5.5.7.3.1)
        Autenticação de cliente web TLS (1.3.6.1.5.5.7.3.2)

        Tipo, não sei ver, encontrei lá isso. 😛

      • @lmx says:

        Parece que sim, mas depois vem la nas extensões do certificado que usa um servidor/cliente de TLS…
        Encriptação a 256 bits??!! a mim parece me muito pouco, mas é o geral…

        cmps

        • Zmei says:

          256 Bit é imenso, porque estamos a falar de um cifra por blocos,e não de uma cifra de chave publica (nesse caso 256 seria pouco, o normal seria 1024 ou 2048)

      • gustajes says:

        A CGD usa no seu site principal http://www.cgd.pt um servidor com o protocolo TSL 1.0 no entanto quando se entra no serviço de Homebanking passa para um servidor com o protocolo SSL 3.0…
        Não compreendo esta situação…

  5. Vítor M. says:

    Realmente isto está bonito. A segurança passou a ser um assunto inseguro.

    O online, que tem vários meridianos de sustentabilidade mas que um dos principais é a segurança, poderá caminhar “pacatamente” para um lugar sobejamente mal frequentado e serviços como o netbaking, portal das finanças… entre outros intimamente ligados ao cibernauta, começarão a ser vistos como “serviços não gratos”… não resolvam o assunto não!

    O ciber-crime alimenta muita gente, tem uma dimensão maior que o narcotráfico, serve para financiar países em constante guerra, serve para financiar o crime organizado e tudo à custa dos pseudo-serviços seguros que as instituições nos “oferecem” para melhorar a nossa condição de vida.

  6. Zé das Couves says:

    O Montepio também é TLS 1.0

  7. Serva says:

    @Vitor ,

    Boa tarde , os meus cumprimentos antes de mais , tenho andado fugido , muito trabalho férias já eram , bom falemos de coisas sérias , como dizes e subscrevo na integra o que escreves é alarmante a sucessão de barreiras que caiem e que se pensavam ser de uma segurança a toda a prova , este é um assunto ainda mais quente quando cada vez mais se fala da ”CLOUD ” , sendo que as estratégias das empresas que mais importam para o desenvolvimento tecnologico apontam como metas para o curto /médio prazo a implementação destas estratégias .

    Está na altura de alguém fazer o que se chama de troca o passo e refazer essas mesmas estratégias , quem é a pessoa individual ou empresa que esteja minimamente informado que dará um passo destes após toda esta sequência de descredibilização .

    Aceitem os meus sinceros cumprimentos

    Serva

  8. João Pedrosa says:

    Enquanto não mandarem os super computadores que estão a assegurar a internet abaixo não descansam…

  9. A conexão https do gmail usa TLS 1.0 e criptografia de 128 bits.

    Acho que se enquadra no exemplo descrito pelos investigadores tailandeses.

  10. E says:

    Será uma maneira dos bancos passarem a empregarem mais gente … digo eu,e até me parece bem ,gostei em especial por essa parte…

  11. ” as versões 1.0 e anteriores do TLS (Transport Layer Security) – o sucessor do SSL”

    Não deveria ser o antecessor em vez do sucessor?

  12. R3volution says:

    Se não formos nós a principal fonte de segurança, estamos bem lixados!

  13. dbrenha says:

    desactivem o tls 1.0 no chrome que começa a aparecer tudo como tls 3.0, a não ser que esteja a dizer uma grande asneira.

    • Hugo Pires says:

      Por acaso até estás. Não é TLS 3.0, mas sim SSL 3.0, que é uma versão anterior, ou seja, mais insegura.

    • Quer dizer que mudando o protocolo no lado do cliente, o servidor ajusta-se automaticamente?

      • JCHP says:

        Quer dizer que quando se desactiva um tipo de segurança, aquilo tenta autenticação com protocolos diferentes. Não necessariamente melhores.

      • @lmx says:

        Boas..
        aqui está outra falha…
        crio um script que me altera de tls para ssl 3.0 e a seguir snifo tudo e…bora lá curtir com o guito da malta…
        De manha acordo faço umas compras em Nova Iorque, ja depois de almoço faço uns investimentos na bolsa e a seguir compro uns sapatos em Italia e mando vir da china um equipamento eletrónico…sem Stresss por hoje paro e amanhã…há mais!!

        Os servidores das intituições de crédito, etc, não deveriam suportar mais que um protocolo, e o suporte deveria ser feito sempre ao Ultimo e não a várias versões!!
        Mas onde anda a malta informatica destas empresas????
        AlÔ???

        cmps

        • Criziot says:

          Isso não é assim tão simples.

          Há sempre milhares de clientes que usam browsers que não suportam as novas cifras. E depois? O cliente telefone e o banco manda-o actualizar o browser? Mas depois o cliente é uma empresa que necessita de usar um browser anterior por causa de um software qualquer que eles têm de usar…

          Acho que consegui explicar o meu ponto 😀

          • @lmx says:

            Se o cliente teima em não ter dois browser’s um para cada situação e como não cumpre as normas mínimas de segurança, que é preciso, para não por em causa todo o sistema bancário…então…fica de fora!!

            cmps

  14. Pedro A. says:

    E como é que podemos saber que versão do TLS é usado nos certificados?

  15. RS says:

    logo logo isto será mudado…

  16. Berto says:

    Li essa noticia ontem, e o detalhe dela… O unico browser a usar TLS > 1.0 é o opera. Ou seja, mesmo que os servidores (são pouco que suportam TLS acima do 1.0, e lembrar que TLS 1.1 é de 2006 e o 1.2 é de 2008) os browsers usados não os suportam, pelo que estamos mesmo à merce do ataque.

    Mas do li, implementar o ataque tb involve algum xss e tem de ser a partir (posso estar errado) numa private network devido ao uso de um network sniffer.

    Mais info sobre o ataque e como funciona em

    http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

    BEAST é mesmo besta 😉

  17. David says:

    como é que posso ver qual o protocolo usado pelo site da cgd?

  18. Nuno Peralta says:

    Todos os sites usam TLS 1.0, porque as novas versões ainda não são suportadas nos navegadores, tais como Google Chrome e Firefox.

    • Carlos says:

      Tirando o Opera, algum outro navegador suporta o TLS 1.1 e 1.2?

      • @lmx says:

        penso que o chrome tem uma versão em faze de implementação do TLS1.1, mas do 1.2 nada, e não ha mais browser’s…a Microsoft talvez tenha 1.1.

        cmps

        • @lmx says:

          Mas se o servidor do banco não aceita tls>1.1, então não vale a pena colocar essas opções no Browser, porque se só colocares essas, vais acabar com uma pagina completamente insegura http, em vez de https…os servidores das instituições é que estão errados!!!

          cmps

    • p. says:

      Enganaste.
      Eles suportam todos os protocolos mas por defeito vêm com o TLS 1.0 activo. É só desactivar.
      http://www.google.com/support/forum/p/Chrome/thread?tid=0539619c98f85cbb&hl=en

      • Nuno Peralta says:

        “As far as I know, you can’t use TLS 1.1 or TLS 1.2 in Chrome, as it isn’t supported.

        The reason being the underlying NSS libraries don’t support TLS 1.1 or 1.2….which needs to be addressed first, before the upper layer applications (e.g. web browsers like Chrome) is able to support is. “

      • HMendes says:

        P.

        Acho que não leste bem… Lá mesmo diz que o chrome não suporta TLS 1.1 ou TLS 1.2.

        Ao desactivares o TLS 1.0, vais forçar o uso de SSL

    • @lmx says:

      Boas…
      eu acho que a questão aqui tem a ver com duas coisas cliente/servidor, não interessa se o browser suporta, se o servidor não suportar, primeiro este tem que suportar, e depois podemos actualizar os browsers…
      Não percebo porque é que as instituições bancarias ainda não melhoraram os seus sistemas, teem gasto rios de dinheiro e afinal de contas é em Vão!!1
      sendo que eles teem varios servidores, pelos quais é feito balanceamento de carga, então durante a noite não desligavam um e começavam a actualizar e assim sussesivamente??!!
      Isto tem a ver com as chefias da informática, estas decisões são tomadas em Níveis acima…mas alguém tem que as tomar…estão a receber ondenados para quê?!!ou vão ficar tipo o Banco de Portugal na altura do Victor Constâncio???
      Sendo assim também quero um lugar desses…não tenho que fazer nada e quanto menos fizer mais ganho, e ainda sou tratado como um senhor e quanto mais acima chego menos responsabilidade tenho…magnifico!!

      cmps

  19. Carlos says:

    Só queria chamar a atenção a um facto: O termo criptografia em português não existe, mesmo no contexto informtático.
    O termo correcto é: cifragem.

    • nioxys says:

      Criptografia é uma palavra que consta nos dicionários de português.
      (cripto- + -grafia)
      s. f.
      Escrita secreta, em cifra, isto é, por meio de abreviaturas ou sinais convencionais.

      Só por curiosidade não encontro “cifragem” no dicionário, apenas cifra,
      s. f.
      1. Algarismo que representa zero.
      2. Quantidade, quantia, número, cômputo total.
      3. Escrita secreta.
      4. Síntese, resumo.
      5. Rubrica.

      Fonte: http://www.priberam.pt/dlpo/

    • Pedro Pinto says:

      yups, criptografia existe mesmo e encriptar também e desencriptar também, e cifrar também e decifrar também…e cifragem… 🙂

      • JGomes says:

        nos dicionários antigos cá de casa criptografia existe, encriptar e desencriptar já não. Até podem ter adicionado recentemente os termos, mas sempre ouvi professores de segurança informática e criptografia a comentar que o termo correcto é cifrar, visto não mexerem em criptas.

  20. p. says:

    Então o TLS 1.1 existe desde desde Abril de 2006 e sites de homebanking e até o paypal não implantaram?
    O mínimo que podem fazer é não usar Wifi para acederem em TLS 1.0 , ou não tarda um vizinho malandro rouba o dinheirinho todo…

  21. Anonimo says:

    Continuo a não ver problema em eles terem realizado esse exploit. O script só funcionará se o tivermos instalado nas nossas máquinas, coisa que só o tem quem quer.

    • rdiogo says:

      Não necessáriamente, se for um trojan, worm, etc…pode ser instalado sem nós sabermos. E se isto acontecer em instituições bancárias, ou até mesmo publicas, bem…então aí sim vai ser um grave problema.

      • Milton says:

        Se for um trojan, worm etc a tua segurança já está comprometida. Podes ter keyloggers, podes ter bots a mandar toda a tua info via web.
        Não vejo problema nenhum neste exploit.

  22. Miguel Rodrigues says:

    Para verem o protocolo, entram no site em questão, certificam-se que o endereço começa por https e clicam no botão imediatamente à esquerda do endereço que escreveram, este botão aparece a verde e mostra um pequeno cadeado, depois deverá aparecer um balão com toda a informação (isto no Chrome).

    Segundo percebi, para utilizarem SSL 3.0, no Chrome, basta irem as opções e procurarem onde diz TLS 1.0, tiram o certo dessa opção e em principio está feito, passam a usar somente SSL 3.0.

    Se eu estiver a dizer alguma asneira avisem sff.

  23. Peludo says:

    Ainda ninguém disse onde se vê esse TLS 1.0.
    Eu vi num emaranhado de informação isto: Autenticação de servidor web TLS (1.3.6.1.5.5.7.3.1)
    Autenticação de cliente web TLS (1.3.6.1.5.5.7.3.2).
    Não sei o que significa.

  24. TopPlus says:

    Notícia com mais detalhe técnico: http://threatpost.com/en_us/blogs/new-attack-breaks-confidentiality-model-ssl-allows-theft-encrypted-cookies-091611

    O Opera já tem um fix mas não colocaram na última versão.

    Uns fix para os browsers e updates para os anti-virus resolve o problema.

    Cabe agora aos “sites” que queiram fornecer serviços obrigar a utilização de TLS1.1/1.2 por parte dos utilizadores.

  25. Pedro Oliveira says:

    Os termos Criptografar e Descriptografar não existem, nem sequer os também muito comumente utilizados Encriptar e Desencriptar. Em criptografia existem as acções de Cifrar e Decifrar.

    • Peludo says:

      Neologismos. 🙂

      Se não há, passa a haver. Toda a gente fala, qual a crise? Neologismo e pronto.

    • Peludo says:

      encriptar – Conjugar
      (en- + cripta + -ar)
      v. tr.
      1. Meter ou enterrar em cripta. = SEPULTAR
      2. [Informática] Converter ou transmitir dados em código. = CIFRAR, CODIFICAR, CRIPTAR

      in Priberam

    • Pedro Pinto says:

      Boas Pedro,

      Eu por norma também uso os termos cifrar e decifrar apesar de alguns autores de livros até usarem codificar/descodificar. O termo Criptografar existe e pode ser consultado em qualquer dicionário. Já o termos Descriptografar também é recorrente em alguns texto. Resumindo, com isto do acordo ortográfico os utilizadores ficam meios baralhados do que existe e do que não existe. No entanto, neste âmbito gosto de usar os termos cifrar e decifrar.

  26. sideshow says:

    Não faz mal, tenho 2€ na conta. É mais inseguro andar na rua com €5.. :p

    • Oli says:

      Está tudo dito..
      Vamos a um multibanco ou tem esquemas, ou alguém está a espreita para assaltar..
      Temos o dinheiro no banco também é mau, vamos ao balcão levantar o dinheiro está alguém à porta para nos assaltar, então alguém que diga como fazemos?
      Pela lógica mais vale não sair de casa para que não aconteça nada… UPS.. não pode ser se fores a net também és roubado, por tudo e mais alguma coisa.. Então?

    • Peludo says:

      E com os actuais valores de juros, mais vale ter o dinheiro debaixo do colchão; e ainda não vá o banco à falência.

  27. CMatomic says:

    Eu acho que é noticia é boa, ainda bem que esse grupo de investigadores descobriam a falha assim mais depressa se melhora a segurança , fosse alguém mal intencionado não ia dizer a sua descoberta .

  28. sérgio says:

    Isto é normal! de certeza que alguém já tem algo mais seguro! agora que o anterior já não é seguro lançam uma cena nova… Desenvolvimento…

  29. Hugo says:

    Não Peludo, isso é os nomes dos algoritmos. SHA-1 para o algoritmo de cifra e RSA para o tipo de chave usado.

  30. Hélder Ferreira says:

    Só gostava de saber como é que eles quebraram a segurança do algoritmo RSA, uma vez que é o algoritmo mais completo e seguro alguma vez desenvolvido.

    E outra coisa, é como conseguem snifar os dados que são enviados para o servidor, uma vez que JS é client side, onde só deveriam conseguir apanhar o que o cliente envia, e no SSL existe uma coisa que se chama de negociação de chaves que são negociadas entre o cliente e o servidor.

    Gostava de saber mais pormenores sobre este dito exploit, incluindo gostava de ver a apresentação desse demo em directo.

    • @lmx says:

      Eu acho que o que eles senifam é a info que anda naquela ligação, ou seja snifam tudo…
      depois com software procuram os pacotes referentes ao socket que está ligado ao servidor e desencriptam os pacotes, depois juntam-nos e já está…digo eu.

      cmps

  31. pedro venda says:

    Ao autor e aos comentadores, isto e um imenso exagero. Nao ha detalhes ainda da vulnerabilidade nem do processo de exploração. Sabem-se algumas dicas que OS autores do exploit mencionaram na imprensa para abrir o apetite que mostram que o ataque consiste num conjunto de vectores em simultâneo.

    Sabe-se que os _protocolos_ TLSv1.1 e acima sao imunes mas na prática poucos browsers e/ou servidores o suportam. Espera-se um nível de criptanalise mas nada de dramático tipo partir SHA1.

    Vamos esperar e ver o que surge.

    Pedro.

    • Pedro Pinto says:

      Autor do artigo ou autores desta interessante descoberta?

      • pedro venda says:

        Parece-me produtivo incluir o link original para o artigo do register que tem mais alguma informacao: http://www.theregister.co.uk/2011/09/19/beast_exploits_paypal_ssl/

        Num artigo paralelo tambe’m no register, esta’ um comenta’rio interessante de um dos developers do chrome (Adam Langley) que procura acalmar os animos:

        “I happen to know the details of this attack since I work on Chrome’s SSL/TLS stack. The linked article is sensationalist nonsense, but one should give the authors the benefit of the doubt because the press can be like that.
        Fundamentally there’s nothing that people should worry about here. Certainly it’s not the case that anything is ‘broken’.”

        Nao tenho duvidas que estamos perante falhas de protocolo que serao carimbadas como de grave risco. Sejam ou nao, vai ser altura de actualizar browsers e web servers. Por outro lado todos os dias encontro websites com SSLv2 ligado – esse sim um protocolo com falhas criptograficas conhecidas (ha anos!).

    • N. Roque says:

      Resumindo… estes ditos “Investigadores” vão ganhar uma pipa ao vender o exploit, seja para fins lícitos ou não.

      • Hugo says:

        Achas que dois gajos que conseguiram quebrar a criptografia SSL precisam de vender o que quer que seja para ganhar uma pipa de massa? LOL, a inteligência deles é-lhes suficiente para ganharem o que quiserem sem cometer actos ilícitos.

  32. manuel says:

    descriptografia ?!

  33. Axys says:

    Acho que já passou da hora dos navegadores suportarem as versões >1.0 do TLS. Assim como passou da hora desses servidores terem suporte a essas novas versões. Ou melhor, ahco que já deveriam é exorcizar o SSL e o TLS 1.0 e passarem a usar por padrão as novas versões >1.0
    Se fizerem isso, todos ficarão felizes.

    Acho que temos o direito de encher a caixa de entrada dessas empresas de reclamações para que eles atualizem seus servidores. Assim como podemos reclamar para os desenvolvedores dos navegadores ou de seus motores para que atualizem o código, para que possam suportar versões >1.0 do TLS.

    Mas como uma vez, um grande sábio disse: Nem sempre temos o que queremos.

  34. User says:

    Quando a noticia se espalhar de um modo mais “global” acredito que muitas entidades sejam pressionadas a actualizar o TLS.

  35. Valente says:

    SSL Server Certificate

    Clicando á esquerda do url https, na janela que aparece -> more infos, na seguinte clicar em “View Certificate” e á cabeça do certificado há aquela indicação nos sites:
    CGD, Millenniumbcp, Unicre, Via verde, Portal das Finanças, Jogossantacasa,…
    Isto quererá dizer que todos ainda usam o SSL ??????

  36. Pedro Dias says:

    É bom que este artigo chegue a Empresas como Bancos, Finanças etc…

  37. Treta says:

    Treta… já se ouve falar disto desde 2000 e troca o passo. A realidade é simples: só se o servidor web tiver muito mal montado é possível o ataque que é feito para quebrar o SSL e descobrir a criptografia usada. Mas é bonito o “show-off” e publicidade que este pessoal consegue…

    • @lmx says:

      Não épreciso entrar no servidor….
      se eu conseguir as credenciais de acosso, para que quero entrar no servidor???
      Eles querem é o guito!!! e para isso é preciso das crendenciais, logo com este método obteem as credenciais, e a seguir com um ip “pirata”, fazem login na tua conta do banco e saltão a curtir no teu guito!!!

      cmps

      • Treta says:

        Não tens de entrar em servidor nenhum, tens é de fazer “n” requests para o servidor até conseguires obter a chave. Um sistema bem montado nunca na vida te responde a vários requests seguidos.

        • @lmx says:

          Isso de negar vários requests, é uma das coisas que eu faço. mas não te esqueças…que aqui não existe um servidor, mas vários(penso eu, dependendo da situação de cada empresa)…em que neste pedido acedes a um sercidor, no próximo pedido acedes a outro(até podes aceder ao mesmo, mas a ideia é ir havendo uma “shiftagem” por forma a distribuir a carga dos pedidos)…
          Logo se implementas regras no servidor(que deves implementar!!), mesmo assim como vou usar o outro a seguir não servem de nada(apenas serviriam se usasse sempre o mesmo servidor!), nesse caso o melhor é implementar as regras nos dois, ou seja servidores+Firewall de entrada.
          Mas desconfio que, tendo saído a tecnologia em 2006 e 2008 e ainda não implementaram, é porque também não teem políticas de segurança elevadas, logo…deve ser possível!

          cmps

    • Hugo says:

      Estás a esquecer-te do cliente. Numa ligação ponto a ponto, ambos podem ser alvos de ataques e a informação pode ser apanhada em qualquer uma das pontas. Aqui, a maior fragilidade nem me parece que seja o servidor, mas sim o cliente (terminais com a pessoa comum).

  38. Mr. Antunes says:

    Temos sempre mais uma camada de proteção com o código via sms.
    Já se actualizavam os protocolos…

    • @lmx says:

      pois…se realmente ainda tivermos essa hipotse tudo bem mais isso não dá para alterar via site???
      Já parece um esquema tipo “Caroussel”(Digo eu que não percebo nada de segurança)…quando a peça chave cai, as outras tipo domino…vão tombando…??!!

      cmps

  39. Renato says:

    Pelo que li, a culpa de ainda se usar TLS 1.0 nao e dos bancos mas sim dos browsers que ainda nao usam o mais recente..

  40. phixie says:

    cheira-me a sensacionalismo…

  41. 3nvy says:

    Como é que é possivel haver tanto escanda-lo que conseguiram encontrar um exploit na versao 1.0 e que agora vai tar tudo inseguro enquanto basta a m*rda dakeles palhaços que tao a cargo dos servidores alterarem o protocolo para a versão acima?

    a preguiça é axim tanta que preferem mandar td a baixo do que fazer a m*rda dum update?

    não consigo perceber a humanidade hoje em dia.

    • Hugo says:

      Achas que um sistema que custou milhões a montar é alterado meia dúzia de anos depois? As empresas iam à falência se assim fosse. Tens que fazer rentabilizar o teu investimento, ponhas em risco o cliente ou não lol.

  42. zico says:

    Só queria aqui referir que mantenham todas as versões de criptografia activas, desde ssl 3.0, tls 1.0 a 1.2. Pois, uma vez que os sites podem utilizar diferentes métodos de criptografia para diferentes dados sensíveis, isto é, utilizar por exemplo tls 1.0 para fazer login, que é um processo curto mas o algoritmo é mais complexo e consome mais recursos do sistema e da rede, e desta forma para a utilização de transferência de dados menos sensíveis e maior tráfego como visualizar o saldo, ver o mail, e que só tem importância num curto intervalo de tempo, podem muito bem utilizar algoritmos menos complexos para não roubar recursos à rede. Estando desactivados estes algoritmos, podem estar a deixar passar a limpo essa informação menos sensível como uma página html, mas ainda assim confidencial.

    • @lmx says:

      Boas..
      concordo, mas acho que ssl 3.0 e tls 1.0 já devem vir activadas em todos os browser’s.
      tls 1.1 e 1.2 é que não existe na maioria dos browsers tirando claro o grande Opera!!Mas também isso não serve para nada pois so vais usar tls 1.1 e 1.2 nos servidores que tenham essa tecnologia, e como actualmente quase ninguém a tem, pronto…está o caldo entornado, por mais segurança que queiras, ela é-te logo vedada na Raiz(servidores)…

      cmps

  43. Rafael says:

    eu devo então configurar o firefox para usar qual protocolo ??
    e qual e o protocolo q esta vulneravel a esse exploit ??
    e tbm pelo q eu entendi, para ser executado ele precisa de acesso ao meu pc e seria pelas tecnicas ja conhecidas, então, fora botnet (pois não sei como descobrir se meu pc ja é ou não um), eu acho meio dificil ter acesso a meu pc.
    e se puderem me tirar essas duvidas.
    e pq o pplware naum feeds para comentarios nos posts ??
    eu acho bom e util.

  44. Tiago Reis says:

    Noticia com definição errada: “não exista nenhum acesso indevido ou falsifiquem os dados transmitidos, ou seja, apenas o emissor e o receptor podem ver a informação da mensagem transmitida.” uma coisa é confidencialidade outra é integridade… falsificar informação é um problema de integridade, ver informação é um problema de confidencialidade…

  45. Filipe says:

    Mas porquê tanta admiração!? Já faz tempo que está provado que é possível “enganar” o SSL… É uma forma simples de colocar alguma segurança, mas nunca foi infalível. Alías, nada na informática é infalível. O SSL é como um cadeado, fechas o cacifo contra o homem comum, mas alguém com um alicate consegue abri-lo.

  46. Mais Fácil says:

    Para acalmar os ânimos (ou não…) aqui vai:

    Todos os navegadores web mais recentes suportam TLS:
    >Safari da Apple suporta TLS, mas não é oficialmente especificada qual a versão. Em sistemas operacionais (Safari usa a implementação TLS do sistema operacional subjacente), como Mac OS X 10.5.8, Mac OS X 10.6.6, Windows XP, Windows Vista ou Windows 7, Safari 5 tem sido relatada para suportar TLS 1.0.
    > Mozilla Firefox, versões 2 e acima, suporte TLS 1.0. [31] Em setembro de 2011, o Firefox não suporta TLS 1.1 ou 1.2.
    >Microsoft Internet Explorer sempre usa a implementação do TLS subjacentes do sistema operacional Microsoft Windows, um serviço chamado Service Provider SChannel Segurança. Internet Explorer 8 no Windows 7 e Windows Server 2008 R2 suporta TLS 1.2. Windows 7 e Windows Server 2008 R2 utilizar o mesmo código (Microsoft Windows versão 6.1 (build 7600)) semelhante à forma como o Windows Vista SP1 usa o mesmo código do Windows Server 2008.
    >A partir de Presto 2.2, apresentado no Opera 10, Opera suporta TLS 1.2.
    >Browser do Google Chrome suporta TLS 1.0, mas não TLS 1.1 ou 1.2.

  47. Miguel Costa says:

    O Gmail também usa TLS 1.0
    Acho que todos os sites, todas as instituições ou pelo menos a grande maioria utiliza a versão 1.0
    😡

  48. je says:

    Que grande confusão! Ainda bem que muitos estão bem iluminados sobre o assunto, e tem corrigido o que andam para aí a escrever mal!

    O SSL 3.0 e o TLS 1.0 não estão definitivamente “quebrados” por este ataque, que de resto já era conhecido aos anos, e por isso é que corrigiram isto nas versões TLS v1.1 (SSL 3.2) e TLS v1.2 (SSL 3.3). É um belo hacking mas envolve muitos factores, pelo que ainda não é caso para pânico (ainda).

    A Caixa Directa da CGD.pt é realmente um caso único de incompetência! Para além de (como todos os outros) não suportarem os protocolos TLS 1.1 e TLS 1.2, não suportam sequer o TLS 1.0, e ainda tem a ligação ao servidor vulnerável a ataques de homem no meio da ligação (MITM), visto que o servidor ainda não suporta a renegociação segura iniciada pelo servidor (que falha de segurança mais básica!!! Se fosse o responsável pelo banco, despedia a pessoa responsável pela actualização/ configuração do servidor).

    Para quem tiver curiosidade, pode realizar uns testes, e façam como eu… toca a chatear as entidades que nos prestam serviços e nem no mais básico (configurar ligação segura ao servidor deles) conseguem fazer bem! Nem quero imaginar o resto…
    Testes aqui:
    https://sslanalyzer.comodoca.com/
    https://www.ssllabs.com/ssldb/index.html
    https://sslchecker.wosign.com/en/

  49. Google says:

    Finalmente o Opera vai ser utilizado, no meu Note ele tava a séculos sem uso.

Deixe um comentário

O seu endereço de email não será publicado.

You may use these HTML tags and attributes: <a href="" title="" rel=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>

*

Aviso: Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.