Google/YouTube

Google descobriu falha no SSL e a Web voltou a não estar segura

26 Comentários

A segurança na Internet é sempre um pressuposto que não deve ser tido como lei e os utilizadores devem estar sempre atentos a problemas que surgem e que podem comprometer as suas navegações.

Um novo problema agora descoberto veio revelar que o protocolos de cifra das comunicações da Internet tem um bug grave e que pode colocar em risco a segurança das comunicações.

O SSL 3 tem uma falha grave de segurança e pode ser facilmente explorada para obter dados que os utilizadores pensam estarem a circular cifrados.

ssl_1


A descoberta agora feita veio revelar que existe um problema com um dos protocolos de cifra das comunicações entre os clientes e os servidores, tornando essa comunicação passível de ser obtida e decifrada.

Foi um grupo de investigadores da Google que anunciou agora a falha e que revelou ao mundo o bug que o SSL 3 tem, deixando expostos todos os utilizadores que usam esta versão do protocolo de cifra para a comunicação segura.

O anúncio foi feito com a publicação de um PDF onde todo o processo e a falha são explicados com o pormenor necessário para que possa ser entendido.

De forma simples o processo passa por obrigar o cliente a realizar um downgrade no protocolo de cifra, indicando-lhe que não é possível usar o mais seguro TLS (Transport Layer Security) e forçando a utilização do protocolo de cifra SSL, na versão 3.

Uma vez forçada esta comunicação com este protocolo, e usando um ataque man-in-the-middle, é iniciado o processo de recolha de cookies seguras mas que podem ser decifradas. O nome dado pela Google a este ataque é POODLE (Padding Oracle On Downgraded Legacy Encryption).

Para já a única forma que é recomendada para garantir a segurança dos utilizadores e dos seus dados é a não utilização do SSL 3, desactivando-o nos browsers e também nos servidores.

Ao fazerem esta mudança tanto os clientes como os servidores vão passar a usar o TLS, que é uma versão muito mais segura do protocolo de cifra de comunicações.

ssl_2

A Google vai iniciar muito em breve a implementação de mecanismos que permitam a passagem entre estes modos de comunicação segura, garantindo que apenas o protocolo TLS vai ser usado, sempre que possível.

Espera-se que outras empresas que mantêm browsers tomem as mesmas medidas e que implementem mecanismos semelhantes, garantindo assim a segurança das comunicações dos utilizadores.

Este é apenas mais um problema a juntar aos recentes que foram descobertos. Mostram que a Internet é um local onde a informação circula livremente, mas que tem ainda muitas fragilidades e que facilmente os dados dos utilizadores podem ser capturados e usados para proveito próprio.

PUB
Autor: Maria Inês Coelho
Partilhar:
Tags:
cifra comunicação dados descoberta Google/YouTube Internet – Serviços Web Segurança Servidores SSL tls utilizadores

PUB.

Questão Semanal

Deveria haver uma marca obrigatória em todas as imagens geradas por IA?

Ver Resultados

Loading ... Loading …
Arquivo de Questões

PUB.

Velocímetro Pplware

Teste a velocidade da sua Internet
Microsoft XIM: uma aplicação para partilha de fotografias
Artigo anterior

Microsoft XIM: uma aplicação para partilha de fotografias
GT Advanced ameaça Apple
Próximo artigo

GT Advanced ameaça Apple
PUB

Comentários

26

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *

  1. Avatar de João Reis
    João Reis

    Vai melhorar a segurança para TSL.
    Estes avanços são importantes porque os melhores hackers já estão a tirar proveito disto a algum tempo.

    venha o próximo alvo a segurar

    Responder
  2. Avatar de Zé Povinho
    Zé Povinho

    Não consigo perceber como é que o Android ainda domina o mundo dos dispositivos móveis.
    S.O. mais inseguro e mais instável não há. E dá provas disso quase todas as semanas.
    O Windows Phone 8.1 é muito mais seguro, para além de muito mais fluido e eficiente.
    Foi uma excelente evolução deixar o Android e começar a usar o Windows Phone 8.1, ainda que, com um smartphone com hardware ligeiramente inferior.

    Responder
    1. Avatar de Rudi
      Rudi

      O mesmo se pode dizer da ignorância 🙂

      Responder
      1. Avatar de Carlos Alberto
        Carlos Alberto

        X2

        Responder
    2. Avatar de Carlos
      Carlos

      Mas que raio tem isso a ver pah?!
      Oh santa ignorância.

      Falam-se de alhos e ele traz bugalhos.

      O teu WP 8.1 deve ser mais seguro sem dúvida.. tendo em conta o número baixo de utilizadores (comparando com android e iphone), quem é que quer atacar isso neh?!

      Caladinho és poeta.

      Responder
    3. Avatar de um gajo
      um gajo

      epá mas tu caíste de alguma nuvem ou comes mrd às colheres?!o k é k o android é praki chamado?!

      Responder
    4. Avatar de zzz
      zzz

      Pela hora a que fez comentário, o filho do Columbano Bordal Pinheiro, fez este comentário durante uma crise de sonambulismo ou, enganou-se no tema, ou não sabe do que fala os as três coisas juntas.
      Este comentário está totalmente desenquadrado.
      De todo o modo, não me parece que o uso de certa linguagem ajude o “Povinho” Português a ser mais informado sobre tecnologia.

      Responder
    5. Avatar de zzz
      zzz

      Descupem a gafe. De facto o pai do Zé Povinho é o Rafael Bordalo Pinheiro e não o Columbano. Mas não consta que um ou outro tivessem problemas devidos a falhas no SSL…

      Responder
  3. Avatar de dajosova
    dajosova

    E também no contexto de segurança vejam o que disse recentemente Edward Snowden:

    http://www.noticiasaominuto.com/tech/289867/afastem-se-do-dropbox-facebook-e-google-diz-snowden

    Responder
  4. Avatar de JJ
    JJ

    A questão é que o SSL continua a ser o certificado mais utilizado do mundo. Mesmo que o browser tente utilizar o TLS, se o servidor só estiver a utilizar SSL, nada a fazer.

    Qualquer das formas, as maiores empresas/serviços web, normalmente já utilizam TLS.

    Responder
  5. Avatar de joao
    joao

    e como é desativamos o SS3 no chrome por exemplo?

    Responder
    1. Avatar de João Reis
      João Reis

      Podes pensar em fazer isso mas se o site nao tiver segurança superior, passas a usar a inferior, e isso é mto pior 🙂

      Responder
    2. Avatar de Mota
      Mota

      Faz como eu.. fica quietinho que é melhor.

      Nada é 100% seguro e não. Faz o que podes e nada mais 😀

      Responder
  6. Avatar de Abílio
    Abílio

    O Google planeia retirar completamente o suporte ao SSL 3.0 nos próximos meses, sendo que isso poderá causar alguns problemas em sites mais antigos, que terão que se actualizar; e também a Mozilla vai fazer o mesmo no seu Firefox. O fim anunciado do SSL? Acho que sim.

    Responder
    1. Avatar de Mota
      Mota

      os bancos não usam SSL 3? Pergunto.

      Pq se usam.. dúvido que seja mesmo o fim.
      Mas obviamente que a última palavra pertence aos browsers.

      Responder
      1. Avatar de Bahh
        Bahh

        Se o banco ainda usa SSL3 no seu web site, não o deveria utilizar… a menos que use por exemplo o Firefox (“about:config” > “security.tls.version.min” meter no valor: “1”) ou o Internet Explorer e altere nas opções para só usar TLS 1.0 para cima (TLS 1.0, TLS 1.1 e TLS 1.2… preferencialmente deveria ser só TLS 1.2 nesta altura, mas 90% dos web sites seguros deixavam de estar acessíveis infelizmente).
        Os web sites bancários que só usem SSL 3.0 (era o caso da CGD, parece-me, à uns tempos… e continua a não aceitar ligações TLS 1.1 e TLS 1.2… imagino que não tenham dinheiro para atualizar os servidores os coitadinhos, o dinheirinho vai todo para o BES e outros lados) devem ir ao banco e cancelar a conta via Internet, e dizer que enquanto não apostarem na segurança a sério não usam mais o banco online.

        Responder
      2. Avatar de Abílio
        Abílio

        Vamos ver se se confirmam os rumores sobre browsers. Se se confirmarem é o principio do fim e os bancos e outros sítios terão de se adaptar ou ficar com um problema. Por isso disse “acho”, porque é só uma opinião pessoal baseada em outras informações também. Mas vale o que vale.

        Responder
        1. Avatar de Manuel Campos
          Manuel Campos

          Quais rumores sobre browsers,”Abílio” ??

          Responder
      3. Avatar de Misterious
        Misterious

        Sim a banca usa está versão SSL

        Responder
  7. Avatar de Alex
    Alex

    Fiquei a perceber que as ligações em ssl3 sao em plain text.

    Responder
  8. Avatar de Paulo
    Paulo

    A última versão do Firefox (v33) não é vulnerável: https://www.poodletest.com/

    Responder
  9. Avatar de Paulo
    Paulo

    Erm… agora já aparece vulnerável. Entretanto, a própria Mozilla já lançou um fix/addon temporário: https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/

    Responder
    1. Avatar de Oh comunicação social. Dasss.
      Oh comunicação social. Dasss.

      Aposto que esse addon, só vai alterar uma linha de configuração no about:config. Para quê instalar tralha? 😀

      Responder
  10. Avatar de Oh comunicação social. Dasss.
    Oh comunicação social. Dasss.

    Viva, caros amigos, calma. “Isto” só se aplica no caso de existir um ataque man in the middle. Ou seja, alguem dentro da mesma rede que vocês, tentar manipular a vossa ligação de forma a interceptar o seu conteúdo. Probabilidade disso acontecer, hmm digam-me vocês. Pergunta: Costumam aceder a serviços que requerem muita privacidade (bancos, seguranca social etc) em locais publicos ou prupícios a ataques? bem, vocês lá sabem.

    Quanto ao SSLv3, é de facto um protocolo deprecated. Muitos dos webservers são “Obrigados” a manter a retro-compatibilidade para este protocolo de forma a permitir que os utilizadores que utilizem browsers/sistemas operativos antigos consigam aceder ao serviço. (Imaginam a quantidade de empresas que ainda usam o windows xp? o internet explorer 9? ou tretas do genero), activar apenas o TLS 1.2 ou vá… dar suporte ao TLS 1.0, 1.1 e 1.2 seria estar a pedir reclamações. Este é o motivo de se manter esta retro-compatibilidade.

    Quanto aos handshakes feitos pelos browsers, infelizmente by default, se o server suportar SSLv3 e o browser também, este irá optar por esta versão, mesmo quando ambos suportam TLS1.2. Isto tem a ver com as definições dos browsers e mais uma vez com a gestão de erros e etc. O SSLv3 é mais antigo e portanto irá garantir mais estabilidade nos handshakes. Um fix para isso já foi dito aí a cima. (Firefox: basta acederem ao about:config e alterarem o “security.tls.version.min” para 1.)

    Cumprimentos

    Responder
  11. Avatar de Duvida
    Duvida

    Olá pessoal….tenho uma dúvida:
    Tenho um sistema embarcado que utiliza o serviço de GCM do google. Este sistema utiliza SSLV3. Alguém tem algum pronunciamento oficial do google informando se vai realmente, e quando vai desabilitar o SSLV3 de seus serviços?

    Responder
  12. Avatar de Nikko
    Nikko

    Tudo isto são metáforas! Os sistemas operativos podem ser “lidos” e qualquer um entrar dentro de outro sistema operativo… Creio que serão precisos muitos anos para que miúdos de seis ou sete anos com alguns conhecimentos definitivamente se torne improvável não espiar ou simplesmente brincar com dados alheios. Só tecnologia bem melhor!

    Responder
Aviso:

Todo e qualquer texto publicado na internet através deste sistema não reflete, necessariamente, a opinião deste site ou do(s) seu(s) autor(es). Os comentários publicados através deste sistema são de exclusiva e integral responsabilidade e autoria dos leitores que dele fizerem uso. A administração deste site reserva-se, desde já, no direito de excluir comentários e textos que julgar ofensivos, difamatórios, caluniosos, preconceituosos ou de alguma forma prejudiciais a terceiros. Textos de caráter promocional ou inseridos no sistema sem a devida identificação do seu autor (nome completo e endereço válido de email) também poderão ser excluídos.