Empresas Reagem ao ataque do BEAST


Como Juliano Rizzo e tailandês Duong demonstraram na sexta-feira (EkoParty), a criptografia SSL / TLS utilizado pela grande maioria dos sites tem sido quebrado.

o BEST (Exploit Navegador Contra SSL / TLS) consiste de código JavaScript que é inserido no navegador do usuário e trabalha com um sniffer de rede para descriptografar os cookies que carregam as informações – nome de usuário e senha – que permite aos usuários acessar suas contas.

Segundo o The Register, as melhorias para a abordagem resultou em um ataque rápido e bem sucedida – que levou apenas dois minutos para os pesquisadores colocarem suas mãos sobre as credenciais de login de um usuário efetuar pagamentos no site do PayPal.

Considerando, que há uma série de coisas que teóricamente deve-se ter à sua disposição para executar um ataque destes, entre eles: uma conexão super-rápida e acesso na mesma rede usada pelo usuário-alvo. Além disso, o ataque tem sucesso apenas se as informações que ele está atrás fique em um local com constante do fluxo de dados criptografados, que requerem várias centenas de pedidos HTTPS antes de obter sucesso.

Contudo isso, parece que no momento, os usuários não estão em perigo imediato de ter suas senhas capturadas por cibercriminosos variados, mas os fabricantes de browsers definitivamente perceberam que o perigo pode surgir muito em breve e já começaram a trabalhar há um mês atrás na definiçãod e um Path, após serem notificado pelos pesquisadores de sua descoberta.

Google pesquisador Adam Langley assinalou que a falha no (CBC) usado por Rizzo e Duong para efetuar o ataque não é uma nova vulnerabilidade. Ficou conhecido por uma década, mas, os ataques por mal uso dela foram considerados apenas teórico.

“É importante notar também que os servidores do Google não são vulneráveis ​​a este problema. Em parte devido à história da CBC, os servidores do Google há muito tempo utilizam RC4, uma cifra que não envolve o modo CBC”, acrescentou.

Microsoft reagiu emitindo um alerta de segurança detalhando o problema e ofereceu uma série de soluções alternativas – incluindo criptografia RC4 priorizando o uso de algoritmos de criptografia simétrica -, enquanto seus engenheiros estão trabalhando em uma correção definitiva.

Mozilla compartilhada com o público a discussão entre os pesquisadores e engenheiros de vários (da Microsoft e outras empresas como a Google) a trabalhar no patch, dando insights sobre o processo.

Anúncios


Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s