A Agência de Segurança Nacional dos Estados Unidos emitiu um comunicado de segurança [PDF] neste mês instando os administradores de sistema em agências federais e além a pararem de usar protocolos TLS antigos e obsoletos.
“A NSA recomenda que apenas TLS 1.2 ou TLS 1.3 sejam usados; e que SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1 não sejam usados”, disse a agência.
“Usar criptografia obsoleta fornece uma falsa sensação de segurança porque parece que dados confidenciais estão protegidos, embora na verdade não estejam”, acrescentou a agência.
Mesmo se o TLS 1.2 e o TLS 1.3 forem implantados, a NSA alerta contra a configuração desses dois protocolos com parâmetros criptográficos e conjuntos de criptografia fracos.
“Os padrões e a maioria dos produtos podem ter sido atualizados, mas as implementações muitas vezes não acompanharam”, disse a NSA em sua orientação esta semana . “As conexões de rede que empregam protocolos obsoletos correm um risco elevado de exploração por adversários. Como resultado, todos os sistemas devem evitar o uso de configurações obsoletas para os protocolos TLS e SSL. ”
“Dispositivos de monitoramento de rede podem ser configurados para alertar analistas sobre servidores e / ou clientes que negociam TLS obsoleto ou podem ser usados para bloquear tráfego TLS fraco”, de acordo com a NSA. “A escolha de alertar e / ou bloquear vai depender da organização.
Para minimizar o impacto da missão, as organizações devem usar uma abordagem em fases para detectar e consertar clientes e servidores até que um número aceitável seja corrigido antes de implementar regras de bloqueio. ”
“Algoritmos de criptografia especialmente fracos no TLS 1.2 são designados como NULL, RC2, RC4, DES, IDEA e TDES / 3DES; conjuntos de criptografia que usam esses algoritmos não devem ser usados”, acrescentou a agência.
“O TLS 1.3 remove esses conjuntos de criptografia, mas as implementações que oferecem suporte a TLS 1.3 e TLS 1.2 devem ser verificadas quanto a conjuntos de criptografia obsoletos.”
A agência de segurança cibernética dos Estados Unidos publicou uma lista de ferramentas em seu perfil GitHub para ajudar os administradores de sistema com a tarefa de identificar sistemas em suas redes internas que ainda usam configurações de protocolo TLS obsoletas.
- Estudo da Microsoft e Kyndryl aponta que Alinhamento entre TI e sustentabilidade chega a 92%, mas uso de IA é de apenas 23%
- Uso de telessaúde otimiza fluxo de pacientes e encurta tempo de espera
- Painel verde, operação no limite: a importância da observabilidade real
- Como as plataformas jurídicas podem apoiar o setor a superar os desafios da IA
Acesse aqui e saiba tudo sobre TLS, o protocolo de segurança que garante o sigilo das informações e identifica empresas, dispositivos e objetos no mundo eletrônico.
- Identidade Digital para Máquinas e Agentes de IA: Um Novo Desafio para a Confiança Digital
- Identidades Não Humanas na Nuvem: Certificados, PKI e o Desafio da Segurança Invisível
- SOAP e certificados X.509: pesquisa revela vulnerabilidades na nuvem e como mitigá-las
- Cobrança Automática de Pedágios nas Rodovias Federais: Alerta para possíveis Golpes Digitais via o modelo “free flow”
