Últimas notícias

Fique informado
Logjam: Entenda o que é

Logjam: Entenda o que é

21 de maio de 2015

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

FREAK e Logjam: Guia para Implantação de Diffie-Hellman para TLS / Teste

Estudo revela que a implantação do mundo real de Diffie-Hellman

21 de maio de 2015
Falha na segurança pode derrubar milhares de sites

Pesquisadores descobriram uma nova falha de segurança que afeta a internet de modo geral. Já se sabe o que fazer para corrigir o problema, mas o conserto pode sair caro, porque deixaria milhares de sites inacessíveis.

O Wall Street Journal noticiou que faz dois meses que os engenheiros das empresas que fazem navegadores vêm trocando mensagens para decidir o que fazer, e a solução encontrada para acabar com a vulnerabilidade faria com que mais de 22 mil sites ficassem inoperantes. Mesmo assim, a maioria das empresas ou já fez, ou se prepara para fazer a atualização necessária.

A falha talvez ainda não tenha sido explorada por hackers convencionais, suspeita-se que apenas o governo dos Estados Unidos tenha tirado proveito da situação para espionar redes privadas, as VPNs. Ela permite que o atacante leia e até altere comunicações supostamente seguras.

História 

Sete anos atrás, pesquisadores franceses começaram a procurar por fraquezas na forma como diferentes programas usam os protocolos de comunicação, até que, no ano passado, encontraram problemas nos softwares que usam TLS, um protocolo de segurança.

Esse bug, batizado de Freak, é consequência da política americana de limitar a força da criptografia exportada a outros países – algo que os EUA faziam para poder espioná-los. Mesmo que a barreira tenha sido desfeita nos anos 1990, ainda existem computadores que usam chaves de criptografia mais fracas na hora de fazer exportação.

O bug novo foi batizado de LogJam e é considerado um “primo” do Freak. Em vez de focar nos softwares, ele se concentra no desenho básico do TLS, fazendo com que todos os navegadores e até alguns servidores de e-mail sejam vulneráveis.

O hacker poderia enganar o navegador para fazê-lo acreditar que ele está usando uma chave segura, e não a versão de exportação. Além disso, muitos computadores reciclam números usados para criar as chaves, o que facilita o trabalho dos atacantes. Cerca de 8% dos sites que estão entre o milhão de páginas mais acessadas do mundo estão vulneráveis por suportar essas chaves de exportação.

Correção 

Bastaria uma simples atualização para matar o problema, os navegadores só precisam rejeitar chaves curtas demais. Uma chave boa, com 2.048 bits, é composta por 617 dígitos, mas elas estão presentes em apenas metade dos sites do milhão mais visitado. Uma chave de 512 bits (155 dígitos), deixaria a maioria deles operando, mas ainda é tão fraca que permitiria um ataque em minutos.

Portanto, as empresas decidiram configurar os navegadores para aceitar apenas páginas com chaves a partir de 1.024 bits, que são compostas por 309 dígitos. Com isso, algo em torno de 0,2% das páginas ficarão inacessíveis até que seus administradores façam uma atualização.

Fonte: Olhar Digital

FREAK e Logjam: Guia para Implantação de Diffie-Hellman para TLS / Teste

TAGS

Logjam SSL TLS