Chamado de FREAK a nova falha de segurança, dessa vez relacionada ao protocolo HTTPS, faz jus a seu nome e vem deixado os especialistas em segurança da informação “loucos”. O bug da vez é no OpenSSL e afeta tanto os sistemas operacionais da Apple como os do Google, ou seja, usuários do IOS ou Android estão sob risco.
Para entender um pouco mais a respeito da FREAK (Factoring attack on RSA-EXPORT Keys) é preciso voltar um pouco no tempo e entender as normas impostas pelos antigos governos americanos em relação a segurança.
Em meados da década de 1990 o governo Clinton estipulou que qualquer software exportado do país não deveria ter criptografia superior a chaves de 512 bits, essa prática porém é considerada obsoleta hoje em dia e continua sendo usada desnecessariamente.
Essa regra estimula e facilita o ataque dos hackers, já que possui uma criptografia limitada e considerada fraca que pode ser facilmente explorada pelos cibercriminosos.
A maneira mais simples de aproveitar-se do bug é através do MITM (man-in-the-middle) em que os hackers mascaram sites perigosos de maneira a serem considerados protegidos e obtêm informações secretas dos usuários. Essa prática, porém, só é possível quando o hacker está conectado à mesma rede que o usuário como em hotspots, Wi-fi públicos. Apesar de perigosa, a falha pode ser corrigida de maneira simples tanto nos servidores dos sites, quanto nos navegadores e sistemas operacionais em si.
Para facilitar a vida dos usuários, o site freakattack.com.br listou os servidores que foram afetados pelo bug, assim como os navegadores que estão seguros. Um dica importante para quem tem receio de conectar-se a rede de Wi-fi públicas é usar as conexões VPN que são criptografadas.
