Últimas notícias

Fique informado
Sites WordPress estão sendo invadidos ‘em segundos’ após a emissão de certificados TLS

Sites WordPress estão sendo invadidos ‘em segundos’ após a emissão de certificados TLS

16 de maio de 2022

Spotlight

Doc9 lança Guia Prático de Prompts para ChatGPT no Jurídico: Como Maximizar a Eficiência com a Inteligência Artificial

Para obter os melhores resultados com o ChatGPT no contexto jurídico, siga as dicas importantes do Guia Prático de Prompts da doc9.

28 de maio de 2024

Governo Federal apoia Rio Grande do Sul na emissão 2ª via da Carteira de Identidade Nacional

O mutirão coordenado pelo Governo do RS começou nos abrigos de Porto Alegre. Expedição da segunda via será imediata

20 de maio de 2024

Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS

Conversamos com William Bergamo sócio fundador da e-Safer sobre os padrões técnicos dos protocolos SSL/TLS

11 de maio de 2022

Os invasores atacam antes que os proprietários do site possam ativar o assistente de instalação

Os invasores estão utilizando o sistema de Transparência de Certificados (CT) para comprometer novos sites do WordPress na normalmente breve janela de tempo antes que o sistema de gerenciamento de conteúdo (CMS) tenha sido configurado e, portanto, protegido.

Certificado de Transparência é um padrão de segurança da Web para monitorar e auditar certificados SSL/TLS que são emitidos por autoridades de certificação (CAs) para validar a identidade dos sites.

Implementado pela primeira vez pela DigiCert CA em 2013, o padrão exige que as CAs registrem imediatamente todos os certificados recém-emitidos em logs públicos para fins de transparência e a descoberta imediata de certificados não autorizados ou mal utilizados.

O que é transparência de certificado? Por Adriano Frare

O que é Transparência de Certificados, Por Laila Robak

Ataques DDoS

No entanto, há evidências crescentes de que hackers mal-intencionados estão monitorando esses logs para detectar novos domínios do WordPress e configurar o próprio CMS depois que os administradores da Web carregam os arquivos do WordPress, mas antes de conseguirem proteger o site com uma senha.

Vários testemunhos surgiram detalhando sites sendo invadidos em minutos – em segundos, até mesmo – após a solicitação de certificados TLS.

Eder Souza, Co-fundador da e-Safer

Eder Souza, CTSO (Chief Technology & Security Officer) e Co-fundador da e-Safer uma das principais empresas brasileiras especializadas em fornecer, instalar e dar suporte aos certificados digitais SSLs, comenta as vulnerabilidades no WoldPress.

Sobre o ataque citado, é importante dizer que já existem relatos relacionados ao tema desde 2019 e precisamos deixar claro pontos importantes sobre ele.

O primeiro é sobre a forma na qual os possíveis atacantes estão descobrindo os ambientes vulneráveis, que nesse caso a estratégia adotada é um monitoramento efetivo dos logs públicos produzidos pelas Autoridades Certificadoras (AC) no processo de emissão dos certificados digitais, chamado Certificate Transparency (CT).

A cada novo certificado digital emitido por essas ACs pública, as informações públicas desse certificado digital são inseridas no CT com o propósito de permitir a todos os interessados monitorar seus domínios e perceber rapidamente se um certificado digital foi emitido para o seu domínio sem sua aprovação ou conhecimento. Inclusive fica aqui a recomendação para as centrais de monitoramento de segurança (SOC) dos clientes acompanharem as informações públicas com o propósito de identificar algo estranho para a empresa.

O fato é que, como as ACs publicam as informações necessárias tão logo os certificados digitais são emitidos, grupos mal intencionados estão monitorando esses logs com o objetivo de identificar se o certificado digital em questão foi emitido para uma nova instância de WordPress e ai, imediatamente vão até esse ambiente com scripts elaborados para acelerar o processo e tentam se autenticar usando credenciais padrão, ou que são fornecidas na instalação do produto e ainda não foram modificadas pelos responsáveis pela instalação.

E se essa condição for verdadeira, esses hackers obtêm o acesso privilegiado e instalam códigos (scripts) maliciosos nessa nova instância e esses scripts podem permitir a eles executarem diversas ações maliciosas, como usar o equipamento para minerar criptoativos, roubar credenciais de outros usuários ou até usar esse ambiente para ataques DDoS contra alvos selecionados.

A recomendação para os profissionais que instalam e administram ambientes como esse é, tão logo a instalação seja finalizada, substituir todas as credenciais que geradas no momento da instalação por credenciais seguras e de conhecimento restrito. Fazendo isso os atacantes não conseguirão ter o acesso necessário para comprometer o ambiente conforme desejado.

Como a transparência de certificados se encaixa na infraestrutura de chave pública da Web

O que é Web PKI?

A organização internacional CT – Transparência de Certificados – foi uma resposta ao ataque de 2011 à DigiNotar e outras Autoridades de Certificação. Esses ataques mostraram que a falta de transparência na maneira como as CAs operavam era um risco significativo para a infraestrutura de chave pública da Web. Isso levou à criação deste projeto ambicioso para melhorar a segurança online, trazendo responsabilidade para o sistema que protege o HTTPS.

Golpe com certificados digitais falsos leva DigiNotar à falência

SSL | Ataque contra DigiNotar não nos afetou, diz Symantec

Comodohacker reivindica autoria de ataque à DigiNotar

Essa infraestrutura está inserida em um ecossistema mais amplo, a Web Public Key Infrastructure – Web PKI, que permite comunicação segura e criptografada que pode ser configurada por não especialistas. Sem criptografia, a comunicação entre servidores e navegadores pode ser lida por qualquer pessoa. Quando o ecossistema funciona bem, essa informação é privada.

Quando um usuário final acessa um site que tem um URL HTTPS, ele está interagindo com a Web PKI. É um sistema com tudo o que é necessário para emitir, distribuir e verificar chaves criptográficas e certificados e vinculá-los ao domínio correto. 

No núcleo da Web PKI estão as chaves criptográficas que permitem operações criptográficas como autenticação, autorização e criptografia. Um certificado é, essencialmente, uma ligação de uma chave criptográfica (neste caso, uma chave pública) a um domínio da web por uma Autoridade de Certificação (CA).

Por que o CT é importante para a Web PKI?

O CT traz transparência ao sistema de certificados SSL/TLS que suporta a web. Os protocolos SSL/TLS sustentam HTTPS e Web PKI. A falta de transparência enfraquece a confiabilidade e a eficácia das conexões criptografadas, o que pode comprometer mecanismos críticos de SSL/TLS. Como resultado, eles podem permitir uma ampla gama de ataques de segurança, como falsificação de site, representação de servidor e ataques man-in-the-middle.

Os três principais objetivos do Projeto de Transparência de Certificados

1.     Aumentar a velocidade na detecção de certificados emitidos sem conhecimento do dono domínio, certificados maliciosos e certificados falsos

2.     Oferecer um sistema de monitoramento e auditoria aberto que permita a qualquer pessoa ou entidade determinar se certificados foram emitidos inadequadamente

3.     Aumentar a velocidade da mitigação desses certificados fraudulentos após sua detecção

Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.

Crypto ID entrevista: William Bergamo – Padrões técnicos dos protocolos SSL/TLS