Bem-vindo: Qua, 27 de Novembro 2024, 6:26 Pesquisa avançada

Falha no HTTPS permite interceptar dados protegidos pelo SSL

Secção dedicada a Noticias que não estejam diretamente relacionadas com Software OpenSource! Partilhe aqui notícias sobre Internet, Curiosidades, Guiness, Desporto, Astronomia... resumidamente de tudo! :)

Falha no HTTPS permite interceptar dados protegidos pelo SSL

Mensagempor Luciano Fernandes » Sáb, 15 de Setembro 2012, 6:21

Pesquisadores revelam CRIME, método que rastreia informações entre os servidores e o Gmail, por exemplo.




Pesquisadores de segurança descobriram e prometem demonstrar em breve uma falha de segurança que poderia abalar a segurança da internet como conhecemos atualmente. O ataque apelidado de CRIME (Compression Ratio Info-leak Made Easy) funciona nas compressões de dados TLS e SPDY, esta última utilizada especialmente pelo Google em uma série de produtos online.

Sites com HTTPS são mais seguros porque o navegador verifica a identidade da empresa mantenedora da página e cria uma camada de criptografia para a sessão no navegador. Os dados trafegam de maneira segura, bem como os cookies. Ainda que fiquem armazenados no computador, eles também passam por criptografia.

Os pesquisadores que identificaram a nova forma de ataque afirmam que a vulnerabilidade intercepta os cookies ainda em transmissão. Um cibercriminoso com acesso aos cookies de uma sessão ainda autenticada ao, digamos, Gmail poderia utilizar os recursos do webmail do Google como se fosse o internauta legítimo responsável pela conta.

O funcionamento do CRIME não depende de plugins específicos. JavaScript serviu para tornar o ataque mais rápido, porém existe a possibilidade de executá-lo mesmo sem o JavaScript.

A boa notícia fica por conta de representantes dos principais navegadores. Internet Explorer, Chrome e Firefox estão imunes aos ataques pelo método CRIME, dizem Microsoft, Google e Mozilla (respectivamente). Entretanto, navegadores menos disseminados correm risco de apresentar a vulnerabilidade.

Donos de smartphones devem ter atenção redobrada. Ainda não temos a confirmação de que os navegadores para dispositivos móveis tem segurança suficiente para que cibercriminosos não executem o método CRIME.

Brevemente teremos mais informações sobre o funcionamento do CRIME. Os pesquisadores vão apresentar detalhes do método durante a conferência de segurança Ekoparty, que acontece em 21 de setembro na Argentina.

Com informações: Ars Technica e PC World


Caso tenha gostado do post, por favor, prestigie a fonte para este e outros assuntos afins :!: :obrigado: o :ubuntued: agradece sua preferência, volte sempre! ;)


:idea: CREATION SOURCE: :arrow: Tecnoblog (Thássius Veloso)


Vivamos a LIBERDADE com total DIGNIDADE!
"[...] For we can do nothing against the TRUTH, but for the TRUTH..."
Avatar do usuário
Luciano Fernandes
Nuntius Express
 
Mensagens: 1070
Registrado em: 26 Junho, 2011
Localização: Rio de Janeiro, Brazil.

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor Davysson Silva » Sáb, 15 de Setembro 2012, 11:33

O que me deixa surpreso é o IE não ser vulnerável. :troll:
Avatar do usuário
Davysson Silva
 
Mensagens: 933
Registrado em: 14 Junho, 2011

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor Luis Cardoso » Sáb, 15 de Setembro 2012, 13:49

Davysson Silva (15-09-2012, 11:33) escreveu:O que me deixa surpreso é o IE não ser vulnerável. :troll:

Também fiquei surpreendido :troll:
ImagemImagem
«Escolhe um trabalho de que gostes, e não terás que trabalhar um só dia na tua vida» - Confúcio
Avatar do usuário
Luis Cardoso
Redator
 
Mensagens: 10455
Registrado em: 26 Maio, 2011
Localização: Portugal

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor yuryrodrigues » Sáb, 15 de Setembro 2012, 16:08

Davysson Silva (15-09-2012, 11:33) escreveu:O que me deixa surpreso é o IE não ser vulnerável. :troll:


2
Avatar do usuário
yuryrodrigues
 
Mensagens: 835
Registrado em: 31 Outubro, 2011

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor Claudio Novais » Sáb, 15 de Setembro 2012, 16:16

Não me parece que seja uma notícia tão escandalosa como eu pensei que era quando comecei a ler. Na verdade é como dizer: uma casa é bastante vulnerável se alguém copiar a chave. Aqui sobre os Cookies a coisa é a mesma.

Aliás, quando vi o título pensei logo em responder: estamos numa situação em que só o SSH nos garante, para já, a melhor segurança. No entanto, partindo deste princípio até o SSH seria vulnerável caso copiassem as chaves.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor Renato Santos » Sáb, 15 de Setembro 2012, 16:27

O fato de se capturar dados em HTTPS já é conhecido desde 2009. O fator novo, pra mim, é a interceptação dos cookies na transmissão.

Uma coisa me ocorreu agora: vi a palavra cookie e logo associei ao windows. O Linux também tem esse tipo de arquivo, da mesma forma como acontece no windows?
Avatar do usuário
Renato Santos
 
Mensagens: 53
Registrado em: 13 Novembro, 2011
Localização: Brasil

Re: Falha no HTTPS permite interceptar dados protegidos pelo

Mensagempor Claudio Novais » Sáb, 15 de Setembro 2012, 18:22

Claro, Renato. Os cookies não são mais que ficheiros de texto que os sites pedem para que os browsers guardem. Através desses ficheiros os sites guardam vários dados, nomeadamente identificação do utilizador para que não seja preciso estar a autenticar-se num site sempre que o visita.
Avatar do usuário
Claudio Novais
Editor do Ubuntued
 
Mensagens: 16869
Registrado em: 25 Maio, 2011


Voltar para Notícias Gerais

Quem está online

Usuários navegando neste fórum: Nenhum usuário registrado e 54 visitantes