Empresas Reagem ao ataque do BEAST


Como Juliano Rizzo e tailandês Duong demonstraram na sexta-feira (EkoParty), a criptografia SSL / TLS utilizado pela grande maioria dos sites tem sido quebrado.

o BEST (Exploit Navegador Contra SSL / TLS) consiste de código JavaScript que é inserido no navegador do usuário e trabalha com um sniffer de rede para descriptografar os cookies que carregam as informações – nome de usuário e senha – que permite aos usuários acessar suas contas.

Segundo o The Register, as melhorias para a abordagem resultou em um ataque rápido e bem sucedida – que levou apenas dois minutos para os pesquisadores colocarem suas mãos sobre as credenciais de login de um usuário efetuar pagamentos no site do PayPal.

Considerando, que há uma série de coisas que teóricamente deve-se ter à sua disposição para executar um ataque destes, entre eles: uma conexão super-rápida e acesso na mesma rede usada pelo usuário-alvo. Além disso, o ataque tem sucesso apenas se as informações que ele está atrás fique em um local com constante do fluxo de dados criptografados, que requerem várias centenas de pedidos HTTPS antes de obter sucesso.

Contudo isso, parece que no momento, os usuários não estão em perigo imediato de ter suas senhas capturadas por cibercriminosos variados, mas os fabricantes de browsers definitivamente perceberam que o perigo pode surgir muito em breve e já começaram a trabalhar há um mês atrás na definiçãod e um Path, após serem notificado pelos pesquisadores de sua descoberta.

Google pesquisador Adam Langley assinalou que a falha no (CBC) usado por Rizzo e Duong para efetuar o ataque não é uma nova vulnerabilidade. Ficou conhecido por uma década, mas, os ataques por mal uso dela foram considerados apenas teórico.

“É importante notar também que os servidores do Google não são vulneráveis ​​a este problema. Em parte devido à história da CBC, os servidores do Google há muito tempo utilizam RC4, uma cifra que não envolve o modo CBC”, acrescentou.

Microsoft reagiu emitindo um alerta de segurança detalhando o problema e ofereceu uma série de soluções alternativas – incluindo criptografia RC4 priorizando o uso de algoritmos de criptografia simétrica -, enquanto seus engenheiros estão trabalhando em uma correção definitiva.

Mozilla compartilhada com o público a discussão entre os pesquisadores e engenheiros de vários (da Microsoft e outras empresas como a Google) a trabalhar no patch, dando insights sobre o processo.


Onde vai chegar essa onda de segurança “Security Wave”?

Por Anderson Freitas

Especialmente neste ano de 2011 a Segurança dos recursos computacionais ganharam maior destaque na mídia e especialmente no mundo corporativo, principalmente pelas mãos e ações do grupo denominado “LuzSec – Anonimous”, uma grande organização mundial de Hackers que ao contrário de que muita gente pensa, utilizaram recursos e técnicas conhecidas e identificadas por mecanismos de segurança a muito tempo, então, o que aconteceu? Os sistemas de segurança falharam?

Simples, as empresas, e as pessoas que gerem o sistema de informação e de segurança estavam vivendo em um limbo de “Falsa Segurança” criado talvez pelo volume pequeno de ameaças oferecidas diretamente as suas corporações e seu sistemas nos ultimos anos, não tratamos vulnerabilidades, implementamos firewalls de borda de forma não sistemática, IPS?, IDS? Firewal de Aplicação e DB? Nos tornamos alvos fáceis dentro de nossas corporações.

Agora vivemos uma verdadeira corrida pela “Segurança Total”, e isso é possível? Acredito que não, as ameaças são muitas e algumas ainda abstraem os recursos técnicos existentes ,como por exemplo a camada comportamental ligada as pessoas ainda são uma lacuna muito grande e complexa que se precisa tratar, que em muitos casos vai desde o CIO ao simples usuário conectado a uma estação de trabalho.

O que podemos então oferecer dentro de um contexto real de segurança?

    • Em primeiro lugar priorizar a segurança na camada mais sensível do negócio, focar no “BUSSINESS” da corporação acredito ser o primeiro passo para um desenho de segurança eficiente.

    • Definir as soluções de segurança corretas para cada ponto a ser tratado, certificar-se da aderência e eficiência real destas soluções analisando cases onde sejam utilizadas e métricas de “GARTNER”.

    • “Budget” realista que proporcione o atendimento das demandas de investimento de segurança, pois prover segurança custa caro sim!, mais tem que ser encarado de uma vez por todas como um investimento.

    • Políticas e regras de “COMPLIANCE” definidas e aplicadas de ponta a ponta do circuito de gestão.

É obvio que em uma analise mais abrangente centenas de outros pontos iriam surgir e isso seria assunto para um livro espesso de páginas, o que não é no momento o intuito inicial deste mero blogueiro, o fato é que as atenções voltadas cada vez mais para segurança em TI nos levam a refletir o futuro e onde essa onda vais no levar, e se veio realmente pra ficar.