Últimas notícias

Fique informado
Logjam: Entenda o que é

Logjam: Entenda o que é

21/05/2015

Spotlight

Leia o Parecer de Plenário sobre a MP 983/20 e diversos artigos e entrevistas

Leia também outros artigos e entrevistas sobre a MP 983 2020 publicados pelo Portal Crypto ID

12/08/2020

Câmara aprova MP 983 2020 que amplia uso de assinatura eletrônica

Todos os sistemas que utilizam assinatura eletrônica precisarão se adaptar às novas regras da MP983/2020 até o dia 1º de julho de 2021.

12/08/2020

Como gerenciar seus certificados TLS sob as novas regras do Google?

Em 01 de setembro de 2020, os principais navegadores passam a bloquear certificados TLS que têm um período superior a 398 dias.

10/08/2020

Quatro motivos para investir na autenticação de múltiplos fatores com Inteligência Artificial

Uma maneira de resolver problemas de acessos de usuários é aplicar sistemas de autenticação de múltiplos fatores, como a autenticação condicional.

10/08/2020

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

FREAK e Logjam: Guia para Implantação de Diffie-Hellman para TLS / Teste

Estudo revela que a implantação do mundo real de Diffie-Hellman

21/05/2015
Falha na segurança pode derrubar milhares de sites

Pesquisadores descobriram uma nova falha de segurança que afeta a internet de modo geral. Já se sabe o que fazer para corrigir o problema, mas o conserto pode sair caro, porque deixaria milhares de sites inacessíveis.

O Wall Street Journal noticiou que faz dois meses que os engenheiros das empresas que fazem navegadores vêm trocando mensagens para decidir o que fazer, e a solução encontrada para acabar com a vulnerabilidade faria com que mais de 22 mil sites ficassem inoperantes. Mesmo assim, a maioria das empresas ou já fez, ou se prepara para fazer a atualização necessária.

A falha talvez ainda não tenha sido explorada por hackers convencionais, suspeita-se que apenas o governo dos Estados Unidos tenha tirado proveito da situação para espionar redes privadas, as VPNs. Ela permite que o atacante leia e até altere comunicações supostamente seguras.

História 

Sete anos atrás, pesquisadores franceses começaram a procurar por fraquezas na forma como diferentes programas usam os protocolos de comunicação, até que, no ano passado, encontraram problemas nos softwares que usam TLS, um protocolo de segurança.

Esse bug, batizado de Freak, é consequência da política americana de limitar a força da criptografia exportada a outros países – algo que os EUA faziam para poder espioná-los. Mesmo que a barreira tenha sido desfeita nos anos 1990, ainda existem computadores que usam chaves de criptografia mais fracas na hora de fazer exportação.

O bug novo foi batizado de LogJam e é considerado um “primo” do Freak. Em vez de focar nos softwares, ele se concentra no desenho básico do TLS, fazendo com que todos os navegadores e até alguns servidores de e-mail sejam vulneráveis.

O hacker poderia enganar o navegador para fazê-lo acreditar que ele está usando uma chave segura, e não a versão de exportação. Além disso, muitos computadores reciclam números usados para criar as chaves, o que facilita o trabalho dos atacantes. Cerca de 8% dos sites que estão entre o milhão de páginas mais acessadas do mundo estão vulneráveis por suportar essas chaves de exportação.

Correção 

Bastaria uma simples atualização para matar o problema, os navegadores só precisam rejeitar chaves curtas demais. Uma chave boa, com 2.048 bits, é composta por 617 dígitos, mas elas estão presentes em apenas metade dos sites do milhão mais visitado. Uma chave de 512 bits (155 dígitos), deixaria a maioria deles operando, mas ainda é tão fraca que permitiria um ataque em minutos.

Portanto, as empresas decidiram configurar os navegadores para aceitar apenas páginas com chaves a partir de 1.024 bits, que são compostas por 309 dígitos. Com isso, algo em torno de 0,2% das páginas ficarão inacessíveis até que seus administradores façam uma atualização.

Fonte: Olhar Digital

FREAK e Logjam: Guia para Implantação de Diffie-Hellman para TLS / Teste

Nenhum comentário até agora

Ir para a discussão

Nenhum comentário ainda!

Você pose ser o primeiro a iniciar a discussão.

<