Protocolo SSL é vítima de mais uma falha de segurança

Por Redação | 21 de Maio de 2015 às 08h29

O mundo mal se viu livre da ameaça do "Heartbleed" para, logo na sequência, encontrar outra vulnerabilidade no SSL. O protocolo de segurança, usado para proteger as informações trocadas entre servidores e computadores de usuários, é alvo agora de uma vulnerabilidade chamada "Logjam", que permitiria a interceptação e roubo dos dados trafegados.

Descoberto por um grupo de pesquisadores de diversas organizações e universidades, o problema afeta, mais especificamente, um algoritmo chamado Diffie-Hellman Key Exchange. No SSL, ele serve para que protocolos de segurança como HTTPS, SSH, SMTPS e outros criem uma conexão segura e uma chave compartilhada, acelerando o acesso e permitindo um uso mais dinâmico da rede.

O problema é que essa mesma característica também permitiu que os especialistas reduzissem o nível de segurança das conexões para uma criptografia de 512 bits, suficiente para ser quebrada por sistemas atuais. Dessa forma, hackers e outros indivíduos maliciosos poderiam fazer uso desse artifício, interceptar as informações que originalmente estariam protegidas e simplesmente quebrar a encriptação, tendo acesso a dados pessoais dos usuários.

A questão pode ser ainda mais grave quando se leva em conta que organizações de segurança internacional como a NSA, por exemplo, possuem pessoal apto e maquinário suficiente para quebrar criptografias ainda mais altas, tornando a vulnerabilidade ainda mais grave. Não se trata, então, apenas de uma questão de roubo de dados por golpistas, mas também de espionagem.

Nas estimativas dos especialistas, cerca de 8,4% dos sites que utilizam o protocolo SSL estão vulneráveis à brecha. O grupo chegou a esse número avaliando um milhão de domínios entre os mais acessados do mundo e descobriu que sistemas bancários, lojas online e grandes serviços de e-mail podem estar vulneráveis.

Felizmente, a brecha pode ser resolvida rapidamente por atualizações dos próprios navegadores, um método bem menos complexo do que as correções necessárias em servidores e infraestrutura online. Os responsáveis pela descoberta liberaram, inclusive, uma ferramenta que permite verificar se o browser usado é vulnerável ao Logjam, além de um passo a passo para aplicar a proteção devida a servidores.

Entre as fabricantes de software, apenas o Google confirmou estar trabalhando em uma atualização para resolver o problema. Segundo a empresa, antes mesmo da descoberta, já estava em andamento o desenvolvimento de um update que vai ampliar para 1024 bit a encriptação de dados transmitidos pelo Chrome em conexões que usam o protocolo SSL.

Fontes: WeakDH, The Next Web

Inscreva-se em nosso canal do YouTube!

Análises, dicas, cobertura de eventos e muito mais. Todo dia tem vídeo novo para você.