Vídeo: POODLE TOY: características, personalidade e cuidados essenciais (Novembro 2024)
Os pesquisadores descobriram outra vulnerabilidade séria no Secure Sockets Layer (SSL), que afeta como nossas informações e comunicações são protegidas online. A boa notícia é que você pode tomar medidas específicas para bloquear ataques que exploram essa falha.
Pesquisadores do Google, Bodo Möller, Thai Duong e Krzysztof Kotowicz, descreveram os detalhes do ataque Padding Oracle em criptografia herdada rebaixada (POODLE) em um comunicado de segurança publicado no OpenSSL.org. A vulnerabilidade está no SSL 3.0, que foi introduzido em 1996 e substituído pelo Transport Layer Security (TLS) em 1999. O Poodle aproveita o fato de que os clientes - incluindo os navegadores da Web - farão o downgrade para os protocolos mais antigos e menos seguros. não consegue estabelecer uma conexão segura. O downgrade pode ser acionado por falhas na rede e por atacantes ativos.
"Como um invasor de rede pode causar falhas na conexão, pode desencadear o uso do SSL 3.0 e depois explorar esse problema", escreveu Möller no blog da equipe de segurança online do Google na terça-feira à tarde.
O Poodle expõe cookies de sessão. Os invasores não obterão a senha do usuário para contas de e-mail ou outros serviços online, mas ainda poderão fazer login como usuário enquanto o cookie da sessão for válido. "Assim, enquanto você estiver na Starbucks, algum hacker ao seu lado poderá postar tweets em sua conta do Twitter e ler todas as suas mensagens do Gmail", disse Robert Graham, da Errata Security.
Primeira linha de defesa
O ataque do Poodle se baseia no primeiro adversário a montar um ataque do tipo intermediário para controlar a conexão à Internet da vítima. Uma maneira de fazer isso é configurar um ponto de acesso Wi-Fi malicioso em um local público, como uma cafeteria. Os invasores também precisam executar o código Javascript no navegador da vítima.
"Isso exige que alguém seja um homem do meio para explorar. Isso significa que você provavelmente está protegido contra hackers em casa, embora não protegido pela NSA. No entanto, quando está na Starbucks local ou em outro Wi-Fi não criptografado, você estão em grave perigo com esse hack ", escreveu Graham.
Portanto, já existem algumas coisas que você pode fazer para impedir que possíveis ataques do Poodle sejam bem-sucedidos. Como dissemos repetidamente, não entre sem querer nas redes Wi-Fi públicas ou nas redes de hóspedes operadas por pessoas que você não conhece. Mesmo que você não esteja preocupado com o Poodle, os ataques do tipo intermediário são sérios e você se protege tomando cuidado com as redes às quais se conecta.
Se você precisar acessar uma rede pública, use a VPN, no local de trabalho ou em qualquer um dos muitos serviços VPN disponíveis. Existem muitos por aí, como PrivateInternetAccess, CyberGhostVPN e HotSpot Shield da AnchorFree, para citar alguns.
Os invasores provavelmente levarão os usuários a visitar uma página da Web mal-intencionada, projetada para executar código Javascript especialmente criado. Cuidado com os sites que você visita e procure sites de phishing.
Por que ainda temos o SSL 3.0?
A maioria dos servidores e aplicativos modernos usa TLS 1.1 ou 1.2, mas o SSL 3.0 ainda é amplamente utilizado para oferecer suporte a aplicativos e sistemas legados. Internet Explorer 6 é um bom exemplo. Embora o IE 6 não seja tão visível como costumava ser, ele permaneceu por muito tempo, portanto, vários servidores e aplicativos foram criados para oferecer suporte ao SSL 3.0 junto com o TLS mais seguro. A Netcraft estimou que quase 97% dos servidores SSL da Web provavelmente estão vulneráveis.
"Você pode praticamente matá-lo na maioria dos lugares hoje", escreveu o pesquisador de segurança Troy Hunt, mas isso é apenas parte do problema, pois há clientes por aí que podem depender da capacidade de voltar ao SSL 3.0. Não sabemos quais são eles, tornando as empresas menos dispostas a simplesmente desligar o computador. Por exemplo, houve relatos no Twitter de que o MetroTwit, um cliente popular do Twitter para Windows, confiava no SSL 3.0 e parou de funcionar após o Twitter desabilitar o suporte ao SSL 3.0 na terça-feira à noite (a propósito, o MetroTwit lançou um hotfix, portanto, você deve atualizar seu cliente).
"É a incerteza que mantém vivas essas tecnologias de primeira geração", disse Hunt.
Corrigir o problema do navegador
Use um navegador da Web moderno e compatível com os padrões. A Mozilla desativará o SSL 3.0 por padrão na próxima versão do Firefox, prevista para 25 de novembro, e o Google estará limpando-o do Chrome. O Safari habilita automaticamente o SSL, mas a Apple ainda não avaliou seus planos para o navegador. A Microsoft postou um comunicado com instruções sobre como desativar o SSL 3.0 nos desktops e servidores do Windows.
"Não há necessidade de odiar a Microsoft, como o Internet Explorer 10 ou 11", disse Garve Hays, arquiteto de soluções da NetIQ.
Você pode desativar manualmente o SSL 3.0 no IE desmarcando a caixa SSL 3.0 nas guias Avançadas no menu Opções da Internet. Os usuários do Firefox devem acessar about.config no navegador e alterar o valor de security.tls.version.min para 1. Eles também podem baixar um complemento da Mozilla para desativar o SSL 3.0. Os usuários do Chrome que desejam desativar o SSL 3.0 podem adicionar o sinalizador da linha de comando --ssl-version-min = tls1 ao navegador.
Os usuários do Safari terão que esperar por uma atualização sempre que ela vier. Ficar temporariamente fora do Safari reduzirá a probabilidade de um ataque Poodle.
Quando a Microsoft parou de oferecer suporte ao Windows XP em abril, ainda havia holdouts que alegavam não ter visto um motivo para atualizar para o sistema operacional. Se esses usuários ainda estiverem usando o Internet Explorer 6, começarão a ver as coisas online. O CloudFlare desativou o SSL 3.0 por padrão para todos os sites que hospeda, incluindo os 2 milhões de sites que usam o plano gratuito. Essa decisão impactará menos de 1% de todo o tráfego de seus sites, disse a Cloudflare. É provável que muitas empresas sigam o exemplo do Twitter e desativem o suporte em seus sites. Se você ainda usa o IE 6 ou o Windows XP, precisa realmente atualizar.
"Se você está executando o IE 6 hoje (sim, ainda existem alguns) e não tem opção de atualizar porque 'razões', você está cheio", escreveu Hunt.