Karthikeyan Bhargavan e Gaetan Leurent planejaram e executaram um ataque – em um laboratório de pesquisa de criptografia – que pode piratear o tráfego de mais de 600 dos sites mais populares da web e revelar seu login anteriormente seguro Informação.
Vídeos recomendados
A exploração, apelidada de ‘Doce32', não é fácil de realizar, no entanto. Envolve a mineração de centenas de gigabytes de dados e o direcionamento a usuários específicos que acessaram um site malicioso que os sobrecarregou com um pouco de malware. Ainda assim, a dificuldade em realizar o ataque é compensada pela forma como subverte completamente alguns dos esquemas de encriptação mais comuns da Internet.
Embora o ataque seja muito difícil de realizar na prática, a existência da exploração chamou a atenção dos especialistas em segurança da equipe de desenvolvimento do OpenSSL.
Ao explorar o tráfego criptografado HTTPS ou OpenVPN, os pesquisadores conseguiram usar um paradoxo matemático para identificar partes de informações criptografadas e decifrar credenciais de login e senha em sua totalidade.
Não entre em pânico ainda, especialistas em segurança conversando com Ars Técnica estão convencidos de que a ameaça representada pela exploração é mínima, em parte devido ao fato de ter uma solução relativamente simples.
A principal vulnerabilidade explorada no esquema de descriptografia de cookies secretos é encontrada apenas em cifras de bloco de 64 bits, que os desenvolvedores do OpenVPN já abordaram na versão mais recente de seu VPN Programas. Outros especialistas em segurança conversando com Ars confirmaram que a exploração representa pouca ameaça, desde que os desenvolvedores embarquem e parem de usar cifras de bloco de 64 bits, como Triple DES, ou ‘3DES’.
“A questão do 3DES tem poucas consequências práticas neste momento. É apenas uma questão de higiene começar a dizer adeus ao 3DES”, disse Viktor Dukhovni, membro da equipe OpenSSL.
Recomendações dos Editores
- Um novo bug do WordPress pode ter deixado 2 milhões de sites vulneráveis
- Atualize seu navegador Google Chrome agora: nova exploração pode deixá-lo aberto a hacks
- A exploração de dia zero do Internet Explorer torna os arquivos vulneráveis a hacks em PCs com Windows
Atualize seu estilo de vidaDigital Trends ajuda os leitores a manter o controle sobre o mundo acelerado da tecnologia com as últimas notícias, análises divertidas de produtos, editoriais criteriosos e prévias únicas.
