Lar Securitywatch Yahoo não merece elogios por segurança aprimorada

Yahoo não merece elogios por segurança aprimorada

Vídeo: Isso é elogio? (Novembro 2024)

Vídeo: Isso é elogio? (Novembro 2024)
Anonim

Sim, o Yahoo finalmente ativou a criptografia HTTPS para seus usuários do Mail, mas não parece que a empresa se esforce para fazê-lo de uma maneira significativamente segura.

Todas as comunicações do Yahoo Mail - seja na Web, na Web móvel, em aplicativos móveis ou mesmo via IMAP, POP e SMTP - agora são criptografadas por padrão usando certificados de 2.048 bits, escreveu Jeff Bonforte, vice-presidente sênior de produtos de comunicação do Yahoo, em Jeff Bonforte. Tumblr do Yahoo Mail esta semana. Essa ação protegerá todo o conteúdo de e-mails, anexos, contatos, informações do calendário e até dados do Messenger, conforme eles se movem entre o navegador do usuário e os servidores do Yahoo. Especialistas em segurança alertaram que não era suficiente.

"O anúncio do Yahoo de que ativou a criptografia HTTPS para todos os usuários do Yahoo Mail não é tarde demais, mas também bastante preocupante", disse Tod Beardsley, gerente de engenharia da Metasploit na Rapid7.

Crédito onde o crédito é devido

O Yahoo começou a oferecer aos usuários preocupados com a segurança a opção de ativar o HTTPS para eles no final de 2012. A última alteração significa que a criptografia agora está ativada por padrão, protegendo todos, não apenas aqueles que optaram por obter mais segurança. Considerando que a maioria dos usuários nunca mexe nas configurações, é bom que o Yahoo finalmente tenha ativado o HTTPS por padrão. O Gmail possui HTTPS por padrão desde 2010, a Microsoft lançou o Outlook.com em julho de 2012 com esse recurso por padrão, e o Facebook começou a lançar HTTPS por padrão para os usuários em novembro de 2012.

Chegar atrasado à festa não seria tão ruim se o Yahoo tivesse realmente pensado em algumas de suas decisões de segurança. Embora implantar criptografia por padrão seja um "grande passo à frente para o Yahoo", a "nova configuração deixa muito a desejar", disse Ivan Ristic, diretor de pesquisa de segurança de aplicativos da empresa de segurança Qualys, à Security Watch . O maior problema está no fato de o Yahoo ter decidido não oferecer suporte ao Perfect Forward Secrecy (PFS).

"Sem o Forward Secrecy, mesmo os dados criptografados correm o risco de comprometer a chave privada", alertou Ristic.

Um Quick PFS Primer

Com a criptografia HTTPS básica, hackers (ou agentes do governo) que capturam o fluxo de dados não conseguem ler o conteúdo porque não possuem a chave privada do Yahoo. No entanto, se eles adquirissem a chave em alguma data posterior, eles poderiam voltar e descriptografar os dados capturados anteriormente. Se o site implementou o Perfect Foward Secrecy, mesmo que alguém tenha acesso à chave posteriormente, essa pessoa não poderá voltar e desbloquear todas as sessões mais antigas.

Existem várias maneiras de expor a chave privada: um ataque aos servidores do Yahoo para roubá-la ou descobrir uma fraqueza na própria cifra. O Yahoo pode até entregar a chave, voluntariamente ou por ordem judicial.

"Não consigo pensar em um motivo legítimo para preferir essa estratégia de criptografia mais fraca", afirmou Beardsley.

Não esta bom o suficiente

Existem outros problemas com a implementação do Yahoo, de acordo com Ristic. Alguns dos servidores de e-mail HTTPS do Yahoo usam o RC4 como a cifra preferida, mas o RC4 é considerado fraco. Microsoft e Cisco recentemente eliminaram o uso do RC4. Também é vulnerável a ataques de negação de serviço distribuído, porque suporta a renegociação iniciada pelo cliente, de acordo com um relatório do SSL Labs.

O SSL Labs classifica os sites na segurança geral de sua implementação SSL. O Yahoo tem apenas uma classificação "B".

Outros servidores, como o login.yahoo.com, usam o AES. O AES é melhor que o RC4, mas o Yahoo não implementou atenuações de segurança para ataques conhecidos como o BEAST, que tem como alvo o TLS 1.0 e os protocolos anteriores, e o CRIME, um ataque prático contra como o TLS é usado nos navegadores. O site também suporta "apenas versões mais antigas de protocolos, mas não o TLS 1.2 mais recente e mais seguro", de acordo com um relatório do SSL Labs.

Talvez o Yahoo ainda esteja resolvendo os problemas e uma melhor segurança será implementada nas próximas semanas ou meses. Mas teria sido bom explicar seus planos antecipadamente. E o Yahoo? Você pensará na segurança do usuário, em vez do que é mais fácil para sua equipe?

Yahoo não merece elogios por segurança aprimorada