panayotopoulos Posted September 21, 2011 Share Posted September 21, 2011 Não percebo muito do assunto, mas pela descrição, pareceu ser algo muito "importante" e com um potencial mau-uso da descoberta... Investigadores quebram criptografia SSL Acesso a bancos portugueses e estrangeiros em risco A segurança perfeita é um mito…já dizia o ditado! Nos dias de hoje, a segurança de muitos sites (especialmente de homebanking, ou compras online) passa pelo uso do protocolo SSL (Secure Sockets Layer), que permite (permitia) a integridade e confidencialidade dos dados que são passados entre o cliente e o servidor. Segundo informações disponíveis no site The Register, os investigadores tailandeses Thai Duong e Juliano Rizzo conseguiram pela primeira vez, quebrar o, até agora inquebrável, protocolo SSL e assim decifrar a informação que é passada ponto a ponto (entre o cliente e o servidor). A noticia é preocupante e alarmante mas a descoberta levada a cabo pelo grupo de investigadores apenas põe em causa a segurança as versões 1.0 e anteriores do TLS (Transport Layer Security) – o sucessor do SSL. Até ao momento não há qualquer informação sobre vulnerabilidades que afectem a versão 1.1 ou 1.2 do TLS. A demonstração de tal feito ocorrerá na conferência Ekoparty , que se realizará em Buenos Aires no final desta semana. Thai Duong e Juliano Rizzo irão apresentar o exploit que usaram para conseguir derrubar o SSL e ao qual deram o nome de BEAST. O exploit foi programado em JavaScript e funciona como um snifer, tendo a capacidade de decifrar a informação. Segundo os autores, o exploit funciona também em sites que usam HSTS (HTTP Strict Transport Security – ver aqui). Duong referiu que a demo que irão apresentar na conferência Ekoparty, consistirá na decifragem de um cookie de autenticação, utilizado no serviço Paypal. link E agora, para quem percebe do assunto, é algo grave??? Link to comment Share on other sites More sharing options...
camurso_ Posted September 21, 2011 Share Posted September 21, 2011 Sim, agora o https deixa de ser seguro... Link to comment Share on other sites More sharing options...
DAGC Posted September 21, 2011 Share Posted September 21, 2011 Grave é sempre... quanto à gravidade, saber-se-à quando o disserem como o fizeram. Link to comment Share on other sites More sharing options...
AnDr3w_RvNgR Posted September 21, 2011 Share Posted September 21, 2011 E depende muito como o fizeram lá está. Link to comment Share on other sites More sharing options...
Anusko Posted September 22, 2011 Share Posted September 22, 2011 (edited) Sem conhecer quaisquer detalhes, suponho que dê para resolver do lado do browser, já que é um script javascript. Vamos esperar para ver. O que eles quebraram não foi a criptografia em si, estão é provavelmente a conseguir sacar a chave de sessão para fora do browser. Não foi preciso bruxaria para acertar lol: http://it.slashdot.org/story/11/09/22/038227/Google-Prepares-Fix-To-Stop-SSLTLS-Attacks?utm_source=feedburnerGoogle+Feedfetcher&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29&utm_content=Google+Feedfetcher Edited September 22, 2011 by Anusko Link to comment Share on other sites More sharing options...
Recommended Posts
Create an account or sign in to comment
You need to be a member in order to leave a comment
Create an account
Sign up for a new account in our community. It's easy!
Register a new accountSign in
Already have an account? Sign in here.
Sign In Now