Últimas notícias

Fique informado
OpenSSL: outra vulnerabilidade grave foi detectada
Destaques Notícias

OpenSSL: outra vulnerabilidade grave foi detectada

9 de maio de 2016

Já está ficando rotineiro descobrir falhas graves em bibliotecas de “código aberto” (Open-Source).

E mais ainda na OpenSSL, biblioteca de funções para estabelecimento de “tráfego seguro” entre partes na internet e amplamente utilizada por pequenos, médios e grandes produtores de software.

O consórcio do OpenSSL lançou uma série de “patches” contra 6 vulnerabilidades, incluindo um par de falhas de alta gravidade que pode permitir que atacantes para executar código malicioso no servidor web, bem como descriptografar o tráfego HTTPS (seguro).

Uma das falhas de alta gravidade, CVE-2016-2107, permite que um atacante usando a técnica Man-in-the-Middle (homem no meio) iniciar um ataque conhecido como “Padding Oracle Attack”, que pode descriptografar o tráfego HTTPS se a conexão usa AES-CBC e o servidor suporta AES-NI.

Em outras palavras: se seu servidor (ou de seu Banco, ou de seu Fornecedor, ou Suporte, etc…) utilizar o que é considerado “o mais seguro dos criptografadores” e na “mais segura das implementações” que é o AES-NI (dentro da CPU Intel), estará vulnerável.

É tragicômico.

Se desejar, veja aqui como é a vulnerabilidade explorada.

O ataque do tipo “Padding Oracle” é bem conhecido por todos e já foi utilizado diversas vezes em diversas implementações do OpenSSL. Não é novidade alguma – a novidade aqui é como MAIS uma falha deste tipo ainda ocorre nas bilbiotecas que DEVERIAM prover segurança. Neste caso específico, é uma falha que ocorre na OpenSSL desde 2013!

Tudo isso me remete sempre à mesma opinião:

  • Quem afirma confiar mais em “open-source” pelo fato dele sofrer revisões de toda uma comunidade, deve rever urgentemente seus conceitos. Arrisco a dizer que, de todas as falhas catalogadas em todos os softwares do mundo, as bibliotecas de “código-aberto” têm uma participação expressiva se não majoritária.

  • Quem afirma confiar no AES pois é “um algoritmo testado e validado em todo o mundo” desconhece o Rijndael, as modificações impostas pela NSA e a forma com que ele é implementado – uma forma falha que permite falhas como esta.

  • Quem gasta uma fortuna obtendo uma CPU que contém o AES dentro dela (chamado de AES-NI), pode estar apenas alimentando uma “sensação de segurança”. Pode-se com certeza obter mais performance, mas como saber se a implementação está correta ou pelo menos “não marretada” pela NSA? Não entendo esta falha do OpenSSL ocorrer no AES-NI.

Fonte: Cifra Extrema

CATEGORIAS

Destaques Notícias

TAGS

OpenSSL