Últimas notícias

Fique informado
TLS 1.3: A tímida adoção de criptografia mais forte está ajudando os bandidos. Por Adriano Frare

TLS 1.3: A tímida adoção de criptografia mais forte está ajudando os bandidos. Por Adriano Frare

14 de abril de 2020

Spotlight

Tecnologia referência em segurança chega ao ramo educacional através da CredDefense

Além de universidades e faculdades, a CredDefense quer oferecer seus serviços para escolas de ensino fundamental e médio e também para cursinho pré-vestibular

8 de junho de 2021

Philip Zimmermann: “Today marks the 30th anniversary of the release of PGP 1.0.”

PGP Marks 30th Anniversary – 6 June 2021 – Today marks the 30th anniversary of the release of PGP 1.0

8 de junho de 2021

O que é uma cifra de bloco e como ela funciona para proteger seus dados?

Uma cifra de bloco tem alta difusão (as informações de um símbolo de texto simples são distribuídas em vários símbolos de texto cifrado).

7 de junho de 2021

Comissão Europeia propõe uma identidade digital segura e de confiança para todos os europeus

As Orientações da Comissão para a digitalização até 2030 definem uma série de metas e marcos que a identidade digital europeia ajudará a alcançar.

7 de junho de 2021

O que é transparência de certificado? Por Adriano Frare

A transparência de certificado é um processo que permite a validação quando ao uso do domínio ou acesso ao um site com certificado de SSL.

12 de março de 2020

Certificado digital e a importância da lista de revogação. Por Adriano Frare

A importância da verificação da lista de certificados revogados (LCR) na validação do certificado, matéria por Adriano Frare.

5 de fevereiro de 2020

Em 25 anos, vimos os protocolos melhorarem, mas tem sido incrivelmente lento. Isso porque o TLS e o SSL anteriores a ele são formados em padrões abertos e, para que eles evoluam efetivamente, precisam ser adotados em massa

Por Adriano Frare

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Test

Fabricantes de dispositivos, provedores de navegadores da web, aplicativos (Facebook e seus servidores, por exemplo), aplicações bancárias, todos precisam adotar para garantir que não haja lacunas.

Por doze anos, a criptografia padrão da Internet foi o TLS (Transport Layer Security) 1.2. Seguir suas raízes leva você de volta à primeira versão do protocolo Secure Sockets Layer ( SSL ), desenvolvido em 1995 pela Netscape, mas nunca lançado devido ao fato de estar repleto de vulnerabilidades de segurança.

Os SSL 2.0 e 3.0 seguiram rapidamente e foram lançados, mas também tiveram seus problemas.

A primeira iteração do TLS – 1.0 – foi baseada no SSL 3.0 e foi publicada em 1999 pela Internet Engineering Task Force (IETF).

Embora existam diferenças, os dois protocolos compartilham semelhanças suficientes para que o SSL e o TLS sejam frequentemente usados ​​de forma intercambiável.

É por isso que, apesar do TLS 1.3 estar presente desde 2018 e oferecer maior segurança que o TLS 1.2, o último que permanece o padrão de fato. Há um grande esforço das organizações americanas por sua ampla adoção, mas isso levará tempo.

Outros protocolos padrão que continuam a ser usados ​​são o DNS (Sistema de Nomes de Domínio) e o HTTP (Hypertext Transfer Protocol). O primeiro é frequentemente chamado de “lista telefônica da internet” e é efetivamente um enorme banco de dados cheio de endereços IP. Este último é usado para enviar dados pela conexão.

Os dois usam naturalmente texto não criptografado, o que significa que qualquer ataque do tipo MITM pode identificar com facilidade os sites que um usuário está tentando acessar.

Por que o push do TLS 1.3?

O TLS fornece comunicação segura entre navegadores da Web, aplicativos e servidores voltados para o usuário final, criptografando as informações transmitidas, evitando ataques de interceptação ou adulteração. O processo completo depende de dois tipos de criptografia: assimétrica, que requer uma chave pública e privada, e simétrica, que usa uma chave compartilhada.

A criptografia assimétrica é usada durante o “handshake”, que ocorre antes de qualquer dado ser enviado. O handshake determina qual conjunto de criptografia usar para a sessão – em outras palavras, o tipo de criptografia simétrica – para que o navegador e o servidor concordem.

O protocolo TLS 1.2 realizou várias viagens de ida e volta entre cliente e servidor, enquanto o TLS 1.3 é um processo muito mais suave que requer apenas uma viagem. Essa economia de latência reduz milissegundos de cada conexão.

Outra característica do TLS 1.3 é que ele pode operar ao lado do DNS sobre HTTPS (DoH). Esse protocolo vê a solicitação de URL / IP enviada através de uma conexão criptografada por HTTPS (Hypertext Transfer Protocol Secure) e a oculta no tráfego regular, o que significa que os bisbilhoteiros não conseguem identificar as solicitações. Portanto, eles não sabem quais sites o indivíduo está tentando acessar e também não podem adulterar a conexão.

Como os cibercriminosos estão explorando as lacunas na adoção

Quando totalmente adotado, o TLS 1.3 tornará a Internet um lugar mais seguro, mas até que isso aconteça, a implementação ainda tímida do mercado está capacitando os bandidos.

Um ataque que continua elevando sua cabeça feia é o “Bleichenbacher”. Nomeada em homenagem a um criptógrafo suíço, a variante de ataque viu várias versões direcionadas ao algoritmo de descriptografia RSA. Enquanto os autores do TLS tentaram dificultar a descoberta da chave de descriptografia do RSA, cada nova variante do Bleichenbacher consegue fazer isso.

Como tal, qualquer dispositivo que use recursos baseados em TLS é vulnerável. O TLS 1.3 tenta limitar o uso do RSA, mas a adoção ad hoc significa que o downgrade para o TLS 1.2 geralmente ocorre e os ataques são frequentes.

Também existem muitos que argumentam que o DoH está enfraquecendo os esforços de segurança cibernética, com cada vez mais botnets usando sua capacidade de criptografia para contornar as medidas tradicionais de DNS e outras tecnologias herdadas.

Solicitações criptografadas significam que elas voam sob o radar de medidas típicas e impedem que ferramentas corporativas de segurança cibernética que dependem de servidores DNS locais e monitoramento de DNS bloqueiem determinadas solicitações de acesso. Isso pode resultar em funcionários entrando em sites invadidos por malware.

O que as empresas devem fazer para se proteger?

As empresas devem tomar medidas para garantir que todos os seus dispositivos, servidores e tudo sob seu controle sejam compatíveis com o TLS 1.3. No entanto, o provável rebaixamento para 1,2 ao lidar com pontos externos significa que as vulnerabilidades do protocolo mais antigo ainda precisam ser gerenciadas. Felizmente, o 1.3 possui um recurso embutido que sinaliza quando essa reversão ocorreu, para que as empresas possam resolver a situação.

Aprofundando, as empresas precisam garantir que as ferramentas de monitor de rede estejam configuradas para lidar com a criptografia adicional que o TLS 1.3 oferece e como ele pode ser usado pelos invasores para obter uma vantagem. Normalmente, as empresas usariam uma caixa intermediária do MITM que analisaria as solicitações feitas no TLS 1.2 e decidiria se uma solicitação era genuína ou não antes de emitir o certificado relevante.

Mas esse processo é impossível com o 1.3, pois criptografa os aspectos que foram usados ​​pelo middlebox para julgar solicitações. Dessa forma, as empresas devem procurar fortalecer a segurança do endpoint para ajudar a mitigar o acesso inicial do invasor às redes, além de garantir que as equipes de segurança recebam treinamento de resposta atualizado e acesso à inteligência em tempo real para identificar e analisar ataques.

A mudança para o TLS 1.3 reduzirá a latência e removerá as vulnerabilidades presentes no TLS 1.2. Mas as empresas não podem simplesmente adotá-lo, depois sentar e relaxar. Com protocolos mais antigos ainda amplamente usados ​​e suas vulnerabilidades exploráveis, as organizações devem aprimorar as medidas de segurança dos terminais e a experiência de suas equipes de segurança.

Diante de tudo que fora exposto, as empresas e seus administradores, devem acelerar a adoção do TLS 1.3, a fim de melhorar a proteção de seus ativos.

Adriano Valério L. Frare – Pki consultant / BlockChain / Security / Pen Te

Como o Google faz o gerenciamento do ciclo de vida do certificado. Por Adriano Frare

Bug no código da autoridade de certificação Let’s Encrypt [URGENTE !!!]

Apple não aceitará certificados HTTPS de longa duração

Os melhores artigos sobre TLS e SSL em nossa coluna!

  Explore outros artigos!