CarreiraHeartbleed – Quem tem medo do lobo mau?

Heartbleed – Quem tem medo do lobo mau?

-

Publicidade

Heartbleed – Quem tem medo do lobo mau?Nos últimos dias tem sido constantemente alardeado na mídia o bug do OpenSSL que permite a captura de todos em trânsito que – supostamente – deveriam estar protegidos. Muitos decretaram praticamente o “fim” da Internet como a conhecemos. Outros disseram que todos terão dinheiro roubado de transações bancárias.

Enfim, apesar do grande exagero de certas afirmações, é compreensível que algumas matérias não voltadas ao público técnico não consigam repassar exatamente a gravidade do problema – nem a menos, nem a mais. É a história do telefone sem fio: o caçador viu o Lobo mau e contou para o padeiro. Este, como não viu o tal lobo e não entende nada de animais, aumenta a história dizendo que este lobo possui 2 metros de altura e duas bocas. E por aí a bola de neve vai se formando.

Mesmo coisas que não são realmente necessárias , como alguns sites que disseram aos usuários para “mudar suas senhas com urgência” (afinal, se o bug não for resolvido e o usuário mudar a senha, o cracker simplesmente a pegará de novo), geraram um impacto positivo no público leigo em geral que provavelmente estão pensando agora : “preciso me preocupar mais com segurança”.

O pior problema em toda essa história do Heartbleed, na minha humilde opinião que no final das contas não vale patavina nenhuma, são os sites ditos “especializados” que lançaram artigos tentando minimizar o impacto da falha. Tudo bem que o Heartbleed não é nenhum lobo mau realmente – no máximo um chihuahua revoltado – mas dizer a um usuário que ele não precisa se preocupar é fazer um grande “desserviço”.

Em um dos sites entrevistaram um especialista da Tripwire que deu algumas dicas para os usuários. No artigo, minimizaram um pouco o “risco” dizendo que muitos sites já haviam corrigido a vulnerabilidade e que para o usuário se proteger ele deveria preferir o acesso à sites seguros feito de casa ao invés de locais com Wi-Fi público. Até aí tudo bem, boa dica (meio óbvia até). O que mata é a afirmação:

“Se você estiver em casa, as chances de que cibercriminosos tenham armazenado pacotes de suas interações as quais eles possam descriptografar posteriormente são praticamente nulas.”

Ooooopa (roda a bahiana), peraí um pouco. Um pequeno comentário aí. Quem está familiarizado com técnicas de Penetration Test sabe que tem mais de 10 anos que o pessoal realiza ataques de Man in the middle no SSL. Softwares como CAIN, Ettercap, SSLTrip, dsniff, Paros Proxy e outros tem módulos que quando utilizados corretamente permitem a criação de um “certificado falso” on-the-fly para ser enviado à vítima antes do “verdadeiro”, gerando uma situação intermediária na qual o atacante controla o tráfego criando duas conexões criptografadas.

Então, primeira colocação que eu faço: mesmo com o Heartbleed corrigido, os ataques de MITM ainda continuarão tendo sucesso em muitas de suas tentativas. O que muitas vezes “protege” o usuário caseiro (que com toda certeza não usa um IDS em sua residência) são os erros acusados pelo browser de que o certificado expirou, está inválido ou não corresponde ao nome dos sites. Como sabemos que a maioria dos usuários não lê nenhuma mensagem de erro, essa proteção cai por água abaixo. O site poderia trabalhar com certificados client-side também, mas nem sempre isso é uma realidade.

Colocação de número 2: Por que o cara estando em casa teria uma chance quase “nula” de ter seus dados capturados? Além dele não ter uma proteção tão adequada quanto em uma empresa, o wi-fi do usuário doméstico não é tão seguro assim.

No meu livro, Wireless Hacking: Ataques e Segurança de redes sem fio wi-fi, eu demonstro que hoje você pode facilmente intermediar uma conexão de um usuário residencial simplesmente subindo um Evil Twin (softAP com o mesmo SSID da rede da vítima, mas com melhor ganho de antena) forçando-o a se conectar no seu notebook achando que é o Access Point real e com isso realizar uma bridge com a sua conexão de internet e capturar todo o tráfego então. Se você jogar o sslstrip no recheio então… você captura tudo o que ele digitar em sites ditos “seguros”, além de todo o resto do tráfego.

Ou seja, com toda essa facilidade, é quase irresponsável propagarmos uma falsa sensação de segurança nos usuários. Tudo bem que não precisamos aterrorizá-los também, já que o risco de você ter um vizinho que saiba usar o Kali Linux com adaptador wifi e uma antena de 58dbi da China para interceptar e roubar seus dados é provavelmente pequeno. Mas não é “quase nulo”.

A diferença entre sentir-se seguro e estar seguro é diretamente proporcional ao conhecimento real que você tem sobre um problema. A ignorância em relação ao conhecimento de como certos ataques funcionam fazem com que muitos “especialistas” se contentem em dizer para os nossos queridos e leigos usuários: “se tiver cadeadinho, está seguro”.

[Crédito da Imagem: ShutterStock]

Marcos Flávio Araújo Assunçãohttp://www.defhack.com.br
Analista de vulnerabilidades, empresário, professor universitário e palestrante. Hacker Ético Certificado com 9 livros publicados sobre segurança digital.Email: mflavio@defhack.com LinkedIn: http://br.linkedin.com/in/mflavio2k/

Latest news

4 bons conceitos para apoiar a sua identidade de marca

No mercado, existem marcas que, ao falar seus nomes, rapidamente associamos com determinadas palavras que são boas para quem...

Estratégia de comunicação B2B para redes sociais: dos posts para as vendas!

Adaptar seu conteúdo permite experimentar diferentes maneiras de mostrar sua empresa de TI, os benefícios dos seus serviços e não ser tão repetitivo com algumas táticas.

IA para MSPs: como a inteligência artificial está transformando o mercado de serviços gerenciados

A Inteligência Artificial (IA) está desempenhando um papel crucial na transformação dos Prestadores de Serviços Gerenciados (MSPs). Mais do...

O que é integração de sistemas de RH e como ela facilita o trabalho?

A integração de sistemas de RH traz muitos benefícios, principalmente em termos de otimização do tempo e de recursos. Sem ela, diferentes plataformas podem gerar dados desconexos e difíceis de consolidar, o que pode levar a erros e à sobrecarga de trabalho manual.
Publicidade

Cibersegurança como pilar da resiliência empresarial: a abordagem estratégica dos MSPs

Na última década, a segurança cibernética deixou de ser um tema restrito às áreas de TI para se tornar...

ADDEE traz HaloPSA ao Brasil, apostando na eficiência para MSPs

Plataforma de atendimento e automação promete otimizar a gestão de serviços com funcionalidades integradas para todo o ciclo de vida...

Must read

4 bons conceitos para apoiar a sua identidade de marca

No mercado, existem marcas que, ao falar seus nomes,...

Estratégia de comunicação B2B para redes sociais: dos posts para as vendas!

Adaptar seu conteúdo permite experimentar diferentes maneiras de mostrar sua empresa de TI, os benefícios dos seus serviços e não ser tão repetitivo com algumas táticas.
- Advertisement -

You might also likeRELATED
Recommended to you