Investigadores quebram cifra SSL/TSL

Dois especialistas em segurança dizem ter descoberto uma forma de violar a integridade da versão do protocolo SSL/TLS. Mas as versões 1.1 e 1.2 mantêm a sua inviolabilidade, por agora.

Dois investigadores dizem ter descoberto uma maneira de quebrar a versão 1.0 do protocolo de encriptação SSL/TLS, bastante utilizado para garantir a autenticidade dos sites, e a privacidade dos dados trocados entre os browsers e servidores. O tailandês Duong e Juliano Rizzo demonstraram a sua descoberta na conferência de segurança Ekoparty.

De acordo com os mesmos, as duas últimas versões do protocolo TLS protocolo (o 1.1 e 1.2) continuam invulneráveis. O problema é que a maioria dos sites e ligações de Virtual Private Networks – além dos serviços de mensagens instantâneas – utilizam a versão 1.0, que em si é afectada por ampla compatibilidade com tecnologias Web na maioria dos casos.

O método de exploração, baptizado como Beats, é baseado em código de exploração JavaScript. Este, conjugado com um “sniffer” de rede, é usado para decifrar os “cookies” onde estão as credenciais dos utilizadores, usadas para aceder a contas de vários tipos.

De acordo com Duong e Rizzo, Beats é o primeiro método de ataque realmente capaz de decifrar comunicações “https”. Outras formas  baseiam-se no roubo de identidade de sites certificados como seguros.




Deixe um comentário

O seu email não será publicado