segunda-feira, setembro 26, 2011

SSL Pwned?

Pesquisadores quebram criptografia de sites que protege quase toda a internet

 Você usa o Gmail? E o Facebook? E sites de compra online? Todos esses sites dependem do SSL, uma tecnologia de criptografia que esconde o que navega entre você e o site. É aquele ícone de cadeado no navegador. Só que dois pesquisadores conseguiram arrombá-lo.


Os caras são Thai Duong e Juliano Rizzo. Esta semana, segundo o The Register, eles vão mostrar ao mundo como acabar com o SSL do PayPal usando apenas um pouquinho de código, subvertendo todo o processo de criptografia e deixando seus dados, em grande parte privados, abertos a quem quiser ver. As implicações disso são enormes.

O problema está no que se chama de TLS, a mais nova geração do SSL. O TLS 1.0 é vulnerável. O TLS 1.1 e 1.2 não são suportados por praticamente nenhum navegador. Os sites não querem sair do 1.0, porque não querem perder todos que visitam seu site – o que complica as coisas.

Se o exploit foi divulgado em público, tanto quem desenvolve browsers como quem administra websites serão forçados a usar uma versão mais segura do TLS. A transição, eu imagino, terá seus obstáculos. Mas ao menos Duong e Rizzo encontraram o problema antes de alguém que não planeja demonstrá-la em uma conferência legítima de segurança, certo? [The Register]

 

0 comentários:

Postar um comentário