Falha do HTTPS não tem solução prática

https

Pesquisadores que descobriram vulnerabilidade no HTTPS prometem uma ferramenta para detectar sites em risco, mas dizem não haver uma solução prática

Não existe uma solução para o ataque Breach (sigla em inglês para Reconhecimento de Browser e Extração via Compressão de Hipertexto Adaptável) descoberto por engenheiros da Salesforce na semana passada. Segundo pesquisadores, todas as versões dos protocolos TLS e SSL são vulneráveis ao ataque, mesmo que nem todo site que utiliza HTTPS esteja necessariamente em risco.

Segundo eles, sites, aplicações e páginas que empregam a compressão HTTP são mais vulneráveis. Também usam parâmetros de consulta string para refletir dados do usuário. Por fim, sites alvo são aqueles que trafegam dados sensíveis, como endereços de e-mail e credenciais de segurança.

Engenheiros da Salesforce prometem divulgar uma ferramenta que permite às empresas testar seus sites usando códigos prova-conceito que exploram o Breach. “Estou no processo de limpeza do código e espero publicá-lo em breve. Vai ser uma ferramenta única que pode ser rodada localmente para testar o site”, diz o pesquisador da Salesforce, Angelo Prado. “Você pode ajustar os alvos e testá-los”.

Esclarecendo, a ferramenta não pode ser usada para escanear a web aleatoriamente à procura de sites vulneráveis. “Ela não é um scanner, você precisa identificar um ponto frágil primeiro, necessita de um humano”, explica Angelo. “No meio tempo, a sessão ‘Am I Affected’ do site breachattack.com é um bom começo para um teste manual com a ferramenta gratuita Fiddler”.

O que acontece se um site for vulnerável? “Infelizmente, desconhecemos uma solução efetiva para o problema” atesta o pesquisador. “Algumas dessas soluções são mais práticas e uma única mudança pode cobrir todos os aplicativos, enquanto outras devem ser feitas página por página.” Ele adiciona: “Independente da solução que escolher, é altamente recomendável que você monitore o seu tráfego para detectar possíveis ataques”.

A melhor técnica para acabar com a vulnerabilidade é desabilitar a compressão HTTP, usada para melhorar o uso da banda larga e da capacidade de processamento do servidor para aumentar a rapidez de navegação. Ela envolve a troca de duplicatas dos dados para um indicador que leve ao ponto original.

Mas utilizar esse recurso deixa o HTTPS sensível a um ataque, no qual o atacante é capaz de bisbilhotar as comunicações HTTPS e olhar o tamanho dos pacotes transmitidos. E enviando requisições, consegue deduzir as informações que estão sendo transmitidas.

“Na prática, somos capazes de recuperar tokens CRSF com menos de 4 mil requisições”, comenta Angelo. “Navegadores como o Google Chrome e Internet Explorer enviam esse número de requisições em menos de 30 segundos, incluindo call-backs ao invasor”.

Apesar da ameaça, desabilitar a compressão nem sempre é viável, porque ela faz com que a performance do servidor web seja a esperada pelos administradores e usuários, de acordo com a Ars Technica.

Outra soluções, menos efetivas, sugeridas pelos pesquisadores incluem “separar os segredos da entrada do usuário”, o qual provavelmente envolve uma reforma do software do servidor web, ou mascarar segredos tornando-os aleatórios. Outras técnicas incluem a adição de dados randômicos nas mensagens de resposta HTTP para esconder o seu tamanho real, e a limitação das requisições HTTPS.

Mas muitas dessas soluções têm seus efeitos colaterais e não consertam o problema do HTTPS. Ou como diz o aviso sobre a vulnerabilidade aos ataques Breach: “Não temos o conhecimento de nenhuma solução prática para o problema”.

Agradeço ao Davi e ao Lucas, amigos e colaboradores do seu micro seguro pela referência a essa notícia.

Fonte: it web

4 Responses to Falha do HTTPS não tem solução prática

  1. pgconsultoriaimobiliaria says:

    Victor: quer dizer então que o HTTPS.EVERYWERE, do Eletronic Frontier Foundation – EFF, não é tão eficaz assim?!…

    • Victor Hugo says:

      Esse estudo quer dizer que o https não é 100% seguro, e isso também vale para o https everywhere.

      Obrigado pela sua participação!

  2. domingosbr says:

    Victor
    um tempo atras fizeram uma grande propaganda dizendo que https seria bem superior ao http e parece que não e bem assim
    ainda vai demorar muito tempo para achar um sistema via internet realmente confiavel
    otimo post
    continue com esse bom trabalho e abraços

    • Victor Hugo says:

      Domingos,
      Obrigado pelo seu comentário relacionado a essa notícia em destaque aqui no seu micro seguro.
      Agradeço a sua participação!

%d blogueiros gostam disto: