DevSecOps

5 mar, 2015

Freak Attack: nova falha crítica no SSL/TLS

Publicidade

Pesquisadores do Inria (Institute for Research in Computer Science and Automation) e da Microsoft descobriram uma nova vulnerabilidade que afeta os protocolos de criptografia SSL e seu sucessor, o TLS.

Apelidada de “FREAK” (CVE-2015-0204) ou também chamada de “Factoring Attack on RSA-EXPORT Keys”, a vulnerabilidade permite que invasores consigam interceptar conexões HTTPS entre clientes e servidores vulneráveis e forçá-los a utilizar uma criptografia fraca, conhecida como “export-grade key” ou “512-bit RSA keys”, que pode, então, ser decifrada.

A conexão é vulnerável se o servidor aceitar a suite de cifras “EXPORT” ou estiver utilizando uma das versões vulneráveis do OpenSSL.

As versões do OpenSSL anteriores a 1.01k, e o sistema de criptografia da Apple e alguns navegadores estão vulneráveis. Muitas CDN’s (Content Delivery Network) também parecem estar vulneráveis e já relataram que estão corrigindo o problema, como a Akamai, em seu blog.

Meu site está vulnerável?

Utilizando o comando do OpenSSL, descrito a seguir, você vai saber se está vulnerável.

openssl s_client -connect www.siteblindado.com.br:443 -cipher EXPORT

01

Substituindo “www.siteblindado.com.br” pelo seu domínio, você terá uma resposta.
Caso a mensagem seja “alert handshake failure”, seu servidor está seguro!

Meu navegador está vulnerável?

Acessando este link,você poderá verificar se seu navegador pode ser afetado. Se aparecer uma mensagem em vermelho, seu navegador está vulnerável.

Como Resolver?

  • Caso utilize o OpenSSL, faça a atualização para a versão mais recente. Confira as recomendações no site do OpenSSL.
  • A maioria das CDN’s já resolveram esse problema, entre elas, a Akamai, que relatou em seu blog.
  • Para os sistemas da Apple, aguarde o lançamento do patch de correção nos próximos dias.
  • Caso seu navegador esteja vulnerável, atualize para uma versão mais recente.

#Blindadica: Utilize sempre as melhores práticas para instalar seu certificado digital SSL, para que novas falhas de segurança não prejudiquem seu funcionamento.