Jump to content

Investigadores Quebram Criptografia Ssl


panayotopoulos
 Share

Recommended Posts

Não percebo muito do assunto, mas pela descrição, pareceu ser algo muito "importante" e com um potencial mau-uso da descoberta...

Investigadores quebram criptografia SSL

Acesso a bancos portugueses e estrangeiros em risco

A segurança perfeita é um mito…já dizia o ditado! Nos dias de hoje, a segurança de muitos sites (especialmente de homebanking, ou compras online) passa pelo uso do protocolo SSL (Secure Sockets Layer), que permite (permitia) a integridade e confidencialidade dos dados que são passados entre o cliente e o servidor.

Segundo informações disponíveis no site The Register, os investigadores tailandeses Thai Duong e Juliano Rizzo conseguiram pela primeira vez, quebrar o, até agora inquebrável, protocolo SSL e assim decifrar a informação que é passada ponto a ponto (entre o cliente e o servidor).

A noticia é preocupante e alarmante mas a descoberta levada a cabo pelo grupo de investigadores apenas põe em causa a segurança as versões 1.0 e anteriores do TLS (Transport Layer Security) – o sucessor do SSL. Até ao momento não há qualquer informação sobre vulnerabilidades que afectem a versão 1.1 ou 1.2 do TLS.

A demonstração de tal feito ocorrerá na conferência Ekoparty , que se realizará em Buenos Aires no final desta semana. Thai Duong e Juliano Rizzo irão apresentar o exploit que usaram para conseguir derrubar o SSL e ao qual deram o nome de BEAST. O exploit foi programado em JavaScript e funciona como um snifer, tendo a capacidade de decifrar a informação. Segundo os autores, o exploit funciona também em sites que usam HSTS (HTTP Strict Transport Security – ver aqui).

Duong referiu que a demo que irão apresentar na conferência Ekoparty, consistirá na decifragem de um cookie de autenticação, utilizado no serviço Paypal.

link

E agora, para quem percebe do assunto, é algo grave???

Link to comment
Share on other sites

Sem conhecer quaisquer detalhes, suponho que dê para resolver do lado do browser, já que é um script javascript. Vamos esperar para ver. O que eles quebraram não foi a criptografia em si, estão é provavelmente a conseguir sacar a chave de sessão para fora do browser.

Não foi preciso bruxaria para acertar lol:

http://it.slashdot.org/story/11/09/22/038227/Google-Prepares-Fix-To-Stop-SSLTLS-Attacks?utm_source=feedburnerGoogle+Feedfetcher&utm_medium=feed&utm_campaign=Feed%3A+Slashdot%2Fslashdot+%28Slashdot%29&utm_content=Google+Feedfetcher

Edited by Anusko
Link to comment
Share on other sites

Create an account or sign in to comment

You need to be a member in order to leave a comment

Create an account

Sign up for a new account in our community. It's easy!

Register a new account

Sign in

Already have an account? Sign in here.

Sign In Now
 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...

Important Information

We have placed cookies on your device to help make this website better. You can adjust your cookie settings, otherwise we'll assume you're okay to continue.