Pesquisadores descobriram uma fraqueza séria em praticamente todos os sites protegidos pelo protocolo “Secure Sockets Layer”, ou popularmente conhecido por sua sigla, SSL. Ela permite que um site seja atacado silenciosamente, descriptografando o que está passando entre um servidor web e um navegador de um usuário comum.
A vulnerabilidade reside nas versões 1.0 e anteriores do TLS, ou “Transport Layer Security”, o sucessor do SSL. Embora as versões 1.1 e 1.2 do TLS não sejam suscetíveis a ataques, elas não são suportadas por quase nenhum navegador.
Os pesquisadores tailandeses Duong e Juliano Rizzo irão demonstrar neste final de semana, na Conferência de Segurança ekoparty, em Buenos Aires, um conceito de código chamado BEAST, que é um exploit que irá atuar contra o SSL/TLS. O código subverterá todo o processo de criptografia, deixando todos os dados abertos. As implicações disso são enormes.
Se o exploit for divulgado em público, todos os sites serão forçados a migrar para as versões superiores do TLS 1.0. Isso pode ser um enorme desafio, tamanha a quantidade de sites que usam o protocolo SSL. Mas as consequências poderiam ser muito mais sérias, caso o problema de segurança não fosse encontrado por dois investigadores, e sim, por pessoas mal-intencionadas, como aponta o The Register.
Categorias