Nos últimos dias tem sido constantemente alardeado na mídia o bug do OpenSSL que permite a captura de todos em trânsito que – supostamente – deveriam estar protegidos. Muitos decretaram praticamente o “fim” da Internet como a conhecemos. Outros disseram que todos terão dinheiro roubado de transações bancárias.
Enfim, apesar do grande exagero de certas afirmações, é compreensível que algumas matérias não voltadas ao público técnico não consigam repassar exatamente a gravidade do problema – nem a menos, nem a mais. É a história do telefone sem fio: o caçador viu o Lobo mau e contou para o padeiro. Este, como não viu o tal lobo e não entende nada de animais, aumenta a história dizendo que este lobo possui 2 metros de altura e duas bocas. E por aí a bola de neve vai se formando.
Mesmo coisas que não são realmente necessárias , como alguns sites que disseram aos usuários para “mudar suas senhas com urgência” (afinal, se o bug não for resolvido e o usuário mudar a senha, o cracker simplesmente a pegará de novo), geraram um impacto positivo no público leigo em geral que provavelmente estão pensando agora : “preciso me preocupar mais com segurança”.
O pior problema em toda essa história do Heartbleed, na minha humilde opinião que no final das contas não vale patavina nenhuma, são os sites ditos “especializados” que lançaram artigos tentando minimizar o impacto da falha. Tudo bem que o Heartbleed não é nenhum lobo mau realmente – no máximo um chihuahua revoltado – mas dizer a um usuário que ele não precisa se preocupar é fazer um grande “desserviço”.
Em um dos sites entrevistaram um especialista da Tripwire que deu algumas dicas para os usuários. No artigo, minimizaram um pouco o “risco” dizendo que muitos sites já haviam corrigido a vulnerabilidade e que para o usuário se proteger ele deveria preferir o acesso à sites seguros feito de casa ao invés de locais com Wi-Fi público. Até aí tudo bem, boa dica (meio óbvia até). O que mata é a afirmação:
“Se você estiver em casa, as chances de que cibercriminosos tenham armazenado pacotes de suas interações as quais eles possam descriptografar posteriormente são praticamente nulas.”
Ooooopa (roda a bahiana), peraí um pouco. Um pequeno comentário aí. Quem está familiarizado com técnicas de Penetration Test sabe que tem mais de 10 anos que o pessoal realiza ataques de Man in the middle no SSL. Softwares como CAIN, Ettercap, SSLTrip, dsniff, Paros Proxy e outros tem módulos que quando utilizados corretamente permitem a criação de um “certificado falso” on-the-fly para ser enviado à vítima antes do “verdadeiro”, gerando uma situação intermediária na qual o atacante controla o tráfego criando duas conexões criptografadas.
Então, primeira colocação que eu faço: mesmo com o Heartbleed corrigido, os ataques de MITM ainda continuarão tendo sucesso em muitas de suas tentativas. O que muitas vezes “protege” o usuário caseiro (que com toda certeza não usa um IDS em sua residência) são os erros acusados pelo browser de que o certificado expirou, está inválido ou não corresponde ao nome dos sites. Como sabemos que a maioria dos usuários não lê nenhuma mensagem de erro, essa proteção cai por água abaixo. O site poderia trabalhar com certificados client-side também, mas nem sempre isso é uma realidade.
Colocação de número 2: Por que o cara estando em casa teria uma chance quase “nula” de ter seus dados capturados? Além dele não ter uma proteção tão adequada quanto em uma empresa, o wi-fi do usuário doméstico não é tão seguro assim.
No meu livro, Wireless Hacking: Ataques e Segurança de redes sem fio wi-fi, eu demonstro que hoje você pode facilmente intermediar uma conexão de um usuário residencial simplesmente subindo um Evil Twin (softAP com o mesmo SSID da rede da vítima, mas com melhor ganho de antena) forçando-o a se conectar no seu notebook achando que é o Access Point real e com isso realizar uma bridge com a sua conexão de internet e capturar todo o tráfego então. Se você jogar o sslstrip no recheio então… você captura tudo o que ele digitar em sites ditos “seguros”, além de todo o resto do tráfego.
Ou seja, com toda essa facilidade, é quase irresponsável propagarmos uma falsa sensação de segurança nos usuários. Tudo bem que não precisamos aterrorizá-los também, já que o risco de você ter um vizinho que saiba usar o Kali Linux com adaptador wifi e uma antena de 58dbi da China para interceptar e roubar seus dados é provavelmente pequeno. Mas não é “quase nulo”.
A diferença entre sentir-se seguro e estar seguro é diretamente proporcional ao conhecimento real que você tem sobre um problema. A ignorância em relação ao conhecimento de como certos ataques funcionam fazem com que muitos “especialistas” se contentem em dizer para os nossos queridos e leigos usuários: “se tiver cadeadinho, está seguro”.
[Crédito da Imagem: ShutterStock]
Analista de vulnerabilidades, empresário, professor universitário e palestrante. Hacker Ético Certificado com 9 livros publicados sobre segurança digital. Email: mflavio@defhack.com LinkedIn: http://br.linkedin.com/in/mflavio2k/
You must be logged in to post a comment.
