Últimas notícias

Fique informado

TLS 1.3: A tímida adoção de criptografia mais forte está ajudando os bandidos. Por Adriano Frare

14/04/2020

Spotlight

Presidente do ITI fala sobre a CertLive que abordou as MPs 951 e 983

Conversamos com Carlos Roberto Fortner sobre a primeira CertLive recebeu parlamentares e integrantes do governo brasileiro em torno das MPs 951 e 983 de 2020.

31/07/2020

Associações da Sociedade Civil manifestam seu apoio à aprovação da MP 951/2020

A MP autoriza a emissão dos certificados digitais, no padrão da Infraestrutura de Chaves Públicas Brasileira – ICP-Brasil, por meio de videoconferência.

31/07/2020

O pequeno herói e sua conexão com a tecnologia para acesso ilimitado e seguro

Neste ebook apresentamos a história do pequeno herói neerlandês e sua conexão com a tecnologia do SafeSign e todo o ecossistema de soluções da AET – Unlimited access to your world.

22/07/2020

O que é transparência de certificado? Por Adriano Frare

A transparência de certificado é um processo que permite a validação quando ao uso do domínio ou acesso ao um site com certificado de SSL.

12/03/2020

Certificado digital e a importância da lista de revogação. Por Adriano Frare

A importância da verificação da lista de certificados revogados (LCR) na validação do certificado, matéria por Adriano Frare.

05/02/2020

Em 25 anos, vimos os protocolos melhorarem, mas tem sido incrivelmente lento. Isso porque o TLS e o SSL anteriores a ele são formados em padrões abertos e, para que eles evoluam efetivamente, precisam ser adotados em massa

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Fabricantes de dispositivos, provedores de navegadores da web, aplicativos (Facebook e seus servidores, por exemplo), aplicações bancárias, todos precisam adotar para garantir que não haja lacunas.

Por doze anos, a criptografia padrão da Internet foi o TLS (Transport Layer Security) 1.2. Seguir suas raízes leva você de volta à primeira versão do protocolo Secure Sockets Layer ( SSL ), desenvolvido em 1995 pela Netscape, mas nunca lançado devido ao fato de estar repleto de vulnerabilidades de segurança.

Os SSL 2.0 e 3.0 seguiram rapidamente e foram lançados, mas também tiveram seus problemas.

A primeira iteração do TLS – 1.0 – foi baseada no SSL 3.0 e foi publicada em 1999 pela Internet Engineering Task Force (IETF).

Embora existam diferenças, os dois protocolos compartilham semelhanças suficientes para que o SSL e o TLS sejam frequentemente usados ​​de forma intercambiável.

É por isso que, apesar do TLS 1.3 estar presente desde 2018 e oferecer maior segurança que o TLS 1.2, o último que permanece o padrão de fato. Há um grande esforço das organizações americanas por sua ampla adoção, mas isso levará tempo.

Outros protocolos padrão que continuam a ser usados ​​são o DNS (Sistema de Nomes de Domínio) e o HTTP (Hypertext Transfer Protocol). O primeiro é frequentemente chamado de “lista telefônica da internet” e é efetivamente um enorme banco de dados cheio de endereços IP. Este último é usado para enviar dados pela conexão.

Os dois usam naturalmente texto não criptografado, o que significa que qualquer ataque do tipo MITM pode identificar com facilidade os sites que um usuário está tentando acessar.

Por que o push do TLS 1.3?

O TLS fornece comunicação segura entre navegadores da Web, aplicativos e servidores voltados para o usuário final, criptografando as informações transmitidas, evitando ataques de interceptação ou adulteração. O processo completo depende de dois tipos de criptografia: assimétrica, que requer uma chave pública e privada, e simétrica, que usa uma chave compartilhada.

A criptografia assimétrica é usada durante o “handshake”, que ocorre antes de qualquer dado ser enviado. O handshake determina qual conjunto de criptografia usar para a sessão – em outras palavras, o tipo de criptografia simétrica – para que o navegador e o servidor concordem.

O protocolo TLS 1.2 realizou várias viagens de ida e volta entre cliente e servidor, enquanto o TLS 1.3 é um processo muito mais suave que requer apenas uma viagem. Essa economia de latência reduz milissegundos de cada conexão.

Outra característica do TLS 1.3 é que ele pode operar ao lado do DNS sobre HTTPS (DoH). Esse protocolo vê a solicitação de URL / IP enviada através de uma conexão criptografada por HTTPS (Hypertext Transfer Protocol Secure) e a oculta no tráfego regular, o que significa que os bisbilhoteiros não conseguem identificar as solicitações. Portanto, eles não sabem quais sites o indivíduo está tentando acessar e também não podem adulterar a conexão.

Como os cibercriminosos estão explorando as lacunas na adoção

Quando totalmente adotado, o TLS 1.3 tornará a Internet um lugar mais seguro, mas até que isso aconteça, a implementação ainda tímida do mercado está capacitando os bandidos.

Um ataque que continua elevando sua cabeça feia é o “Bleichenbacher”. Nomeada em homenagem a um criptógrafo suíço, a variante de ataque viu várias versões direcionadas ao algoritmo de descriptografia RSA. Enquanto os autores do TLS tentaram dificultar a descoberta da chave de descriptografia do RSA, cada nova variante do Bleichenbacher consegue fazer isso.

Como tal, qualquer dispositivo que use recursos baseados em TLS é vulnerável. O TLS 1.3 tenta limitar o uso do RSA, mas a adoção ad hoc significa que o downgrade para o TLS 1.2 geralmente ocorre e os ataques são frequentes.

Também existem muitos que argumentam que o DoH está enfraquecendo os esforços de segurança cibernética, com cada vez mais botnets usando sua capacidade de criptografia para contornar as medidas tradicionais de DNS e outras tecnologias herdadas.

Solicitações criptografadas significam que elas voam sob o radar de medidas típicas e impedem que ferramentas corporativas de segurança cibernética que dependem de servidores DNS locais e monitoramento de DNS bloqueiem determinadas solicitações de acesso. Isso pode resultar em funcionários entrando em sites invadidos por malware.

O que as empresas devem fazer para se proteger?

As empresas devem tomar medidas para garantir que todos os seus dispositivos, servidores e tudo sob seu controle sejam compatíveis com o TLS 1.3. No entanto, o provável rebaixamento para 1,2 ao lidar com pontos externos significa que as vulnerabilidades do protocolo mais antigo ainda precisam ser gerenciadas. Felizmente, o 1.3 possui um recurso embutido que sinaliza quando essa reversão ocorreu, para que as empresas possam resolver a situação.

Aprofundando, as empresas precisam garantir que as ferramentas de monitor de rede estejam configuradas para lidar com a criptografia adicional que o TLS 1.3 oferece e como ele pode ser usado pelos invasores para obter uma vantagem. Normalmente, as empresas usariam uma caixa intermediária do MITM que analisaria as solicitações feitas no TLS 1.2 e decidiria se uma solicitação era genuína ou não antes de emitir o certificado relevante.

Mas esse processo é impossível com o 1.3, pois criptografa os aspectos que foram usados ​​pelo middlebox para julgar solicitações. Dessa forma, as empresas devem procurar fortalecer a segurança do endpoint para ajudar a mitigar o acesso inicial do invasor às redes, além de garantir que as equipes de segurança recebam treinamento de resposta atualizado e acesso à inteligência em tempo real para identificar e analisar ataques.

A mudança para o TLS 1.3 reduzirá a latência e removerá as vulnerabilidades presentes no TLS 1.2. Mas as empresas não podem simplesmente adotá-lo, depois sentar e relaxar. Com protocolos mais antigos ainda amplamente usados ​​e suas vulnerabilidades exploráveis, as organizações devem aprimorar as medidas de segurança dos terminais e a experiência de suas equipes de segurança.

Diante de tudo que fora exposto, as empresas e seus administradores, devem acelerar a adoção do TLS 1.3, a fim de melhorar a proteção de seus ativos.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Te

Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare

Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]

Apple não aceitará certificados HTTPS de longa duração

Os melhores artigos sobre TLS e SSL em nossa coluna!

  Explore outros artigos!