Resolvendo Todos Os Problemas Do Windows E Outros Programas

Especialistas em segurança alertam sobre o ataque 'POODLE' contra SSL 3.0

Os pesquisadores do Google encontraram uma falha grave em um software de criptografia obsoleto, mas ainda usado, que pode ser explorado para roubar dados confidenciais.

A falha no SSL 3.0 tem mais de 15 anos, mas ainda é usada por navegadores e servidores modernos. SSL significa 'Secure Sockets Layer', que criptografa dados entre um cliente e servidor e protege a maioria dos dados enviados pela Internet.



Bodo Möller, Thai Duong e Krzysztof Kotowicz do Google desenvolveram um ataque chamado 'POODLE', que significa Padding Oracle On Downgraded Legacy Encryption, de acordo com seu papel de pesquisa .

Os navegadores da Web são projetados para usar versões mais recentes de SSL ou TLS (Transport Layer Security), mas a maioria dos navegadores acomodará SSL 3.0 se isso for tudo o que um servidor pode fazer na outra extremidade.

Erro 8024200d

O ataque POODLE pode forçar uma conexão para 'fallback' para SSL 3.0, onde é possível roubar cookies, que são pequenos arquivos de dados que permitem o acesso persistente a um serviço online. Se roubado, um cookie pode permitir que um invasor acesse a conta de e-mail de alguém baseada na Web, por exemplo.

Um invasor teria que controlar a rede à qual a vítima está conectada para conduzir esse tipo de ataque man-in-the-middle. Isso pode ser possível em uma área pública, como em uma rede Wi-Fi em um aeroporto.

Os especialistas em segurança sabem há muito tempo que o SSL 3.0 é problemático. Matthew Green, criptógrafo e professor de pesquisa da Universidade Johns Hopkins, escreveu sobre seu Blog que muitos servidores ainda suportam SSL 3.0, uma vez que não queriam bloquear os usuários do Internet Explorer 6, um navegador desatualizado, mas ainda usado.

“O problema com a solução óbvia é que nossa infraestrutura de Internet envelhecida ainda está carregada com navegadores e servidores ruins que não funcionam sem o suporte SSLv3”, escreveu Green.

“Os fornecedores de navegadores não querem que seus clientes se deparem com uma parede em branco sempre que acessam um servidor ou balanceador de carga que suporta apenas SSLv3, então eles permitem o fallback”, escreveu ele.

O Google já tomou medidas para impedir que conexões criptografadas sejam feitas usando versões menos seguras de SSL e TLS.

Adam Langley, que trabalha no navegador Chrome do Google, escreveu em seu Blog que as conexões feitas usando o Chrome para a infraestrutura do Google estão usando um mecanismo chamado 'TLS_FALLBACK_SCSV', que impede o downgrade.

“Estamos pedindo aos operadores de servidor e outros navegadores para implementá-lo também”, escreveu Langley. 'Ele não apenas protege contra esse ataque específico, ele resolve o problema de fallback em geral.'

O Google está preparando um patch para o Chrome que proibiria voltar para SSL 3.0 para todos os servidores, mas 'essa mudança vai quebrar as coisas e, portanto, não sentimos que podemos pular direto para o canal estável do Chrome. Mas esperamos chegar lá dentro de semanas e, portanto, os servidores com bugs que atualmente funcionam apenas por causa do fallback SSL 3.0 precisarão ser atualizados. '

Grandes empresas de internet já estão fazendo ajustes para evitar um ataque POODLE. CloudFlare, que tem um serviço de cache amplamente usado, desabilitou SSL 3.0 em sua rede por padrão para todos os seus clientes, escreveu CEO Matthew Prince.

'Isso terá um impacto em alguns navegadores mais antigos, resultando em um erro de conexão SSL', escreveu Prince. 'O maior impacto é o Internet Explorer 6 rodando no Windows XP ou mais antigo.'

Prince escreveu que apenas 0,65 por cento do tráfego criptografado HTTPS na rede da CloudFlare usa SSL 3.0. “A boa notícia é que a maior parte desse tráfego é, na verdade, tráfego de ataque e alguns rastreadores menores”, escreveu ele.

Envie dicas de notícias e comentários para jeremy_kirk@idg.com. Siga-me no Twitter: @jeremy_kirk