Open Source

Ξ 9 comentários

Software proprietário vs Software Livre, falha no protocolo de segurança de criptografia SSL põe em dúvida o uso do software livre em grandes corporações

publicado por Julio Guilherme P Freiberger

Software proprietário vs Software Livre, falha no protocolo de segurança de criptografia SSL põe em dúvida o uso do software livre em grandes corporaçõesVeja como você pode proteger suas informações contra a falha na criptografia Heartbleed.

Conforme o relatório sobre a descoberta de uma vulnerabilidade importante no Secure Sockets Layer (SSL), serviço de encriptação,que é implementado em algumas versões do Linux, um exploit poderia revelar até 64 kilobytes de memória do servidor afetado.

A boa notícia é que o Projeto OpenSSL emitiu uma correção quase que imediatamente, e passou-se como uma atualização para os distribuidores Linux, mas essa vulnerabilidade tenha sido em torno de dois anos.

Não há evidência de que essa vulnerabilidade já foi explorada,mas há mais más notícias, pois devido a forma como esta vulnerabilidade funciona, pode não haver a evidência, mesmo que tivesse sido explorado.

Tatu Ylönen,Inventor da criptografia SSH e CEO da SSH protocolo de segurança, disse “Essa é uma vulnerabilidade gravíssima em OpenSSL”.

“Um atacante pode usá-lo para obter as chaves de criptografia usadas por um site da web, permitindo que uma agência atacante ou espião possa ler todas as comunicações. Ele praticamente pode ser usado para obter a chave privada do servidor que é usada para proteger o servidor e as comunicações a ele, essencialmente violar os certificados usados para proteger o site, que por sua vez permite descriptografar sessões anteriores, bem como executar ataques man-in-the-middle (incluindo fraude bancária e roubo de identidade) na maioria dos casos “.

Ylönen disse que cerca de dois terços dos sites do mundo utilizam a biblioteca de criptografia afetados pela vulnerabilidade, que é OpenSSL 1.0.1.Qualquer um desses sites pode ter sido comprometido. Ele disse que estes incluem grandes sites de comércio eletrônico, redes sociais e sites de bancos.

Porque as próprias chaves de criptografia podem ter sido roubados de sites comprometidos, a importância de manter as chaves de segurança é ressaltada, a não ser que as chaves foram mantidas em segurança e criptografadas, a chance de que eles poderiam ser roubado durante uma violação é alta, de acordo com Richard Mould, vice-presidente de Estratégia de Thales e-security.

O bug Heartbleed encontrado no OpenSSL, um dos meios mais comuns de criptografia de dados na internet, aumenta o risco de que as chaves de criptografia podem ser roubadas. Um atacante que pode descriptografar os dados que tenha sido previamente criptografados usando essas chaves e, provavelmente, quaisquer dados futuros até cada mudança de chave, como se sabe atualizar chaves é caro e consome tempo e o impacto de perda pode ser muito prejudicial “.

Ylönen disse que uma vez que a criptografia SSL tinha sido quebrado, é provável que as senhas normalmente protegidas por SSL também havia sido comprometida.”Isto é particularmente INCLUI nacionais e internacionais Agências de Inteligência que rotineiramente gravam todo o tráfego podem usar ou já usaram a vulnerabilidade para ler as chaves privadas, necessárias para descriptografar os dados históricos gravados”.

Isto significa que se alguém, como uma agência de espionagem nacional ou ciber-criminosos organizados, estavam tentando ler os dados de sua empresa, uma vez que cruzou a Internet pública, eles podem voltar e descriptografar o material que você capturou.

E agora?

Se o Heartbleed foi usado contra qualquer site com o qual você se conectou, isso significa que, no mínimo, você precisa mudar suas credenciais de segurança.Isto inclui a alteração todas as senhas que você nunca poderia se lembrar.

Sua empresa está vulnerável, caso você estava executando um servidor Linux ou usar Open SSL.

O que fazer agora?

As empresas devem “atualizar a sua biblioteca Open SSL para a versão 1.0.1g” e “criar uma nova chave privada, gerar uma solicitação de certificado, e comprar um novo certificado da sua CA (autoridade de certificação) e instalar a nova chave”, isso deve ser feito para cada site de suporte SSL / TLS (https:addresses).

Neste ponto, como eu disse anteriormente, não há nenhuma evidência de que os ciber-criminosos têm explorado essa vulnerabilidade, mas você precisa ter certeza.Isso significa que se você estiver usando um servidor Linux rodando serviços Web a partir de um servidor de código aberto, você provavelmente está vulnerável.Se você se conectar a um servidor usando tais SS :/ TLS, seus dados protegidos podem ter sido comprometidos.

No entanto, se o servidor em questão executa o Windows Server de alguma sorte, as chances são de que você não estava comprometido como a vulnerabilidade existe apenas em plataformas de código aberto.Há um site foi criado para fornecer informações sobre este problema, ele também observou que o protocolo SSH usados por administradores de sistema não foi afetado.

Infelizmente, esta é uma daquelas situações em que uma pequena alteração projetada para facilitar a vida dos usuários de SSL acabou por ser o problema, este bug específico surgiu como parte de um esforço para fornecer uma “pulsação” regular a partir de um sistema seguro para que o servidor do outro lado de uma conexão iria perceber a conexão estava ativa e não teria necessidade de realizar uma checagem nas credenciais novamente.

O que é pior, esta é uma situação em que você poderia ter feito tudo certo, e ainda ter sido comprometida, claro, as melhores práticas recomendam que você criptografar tudo antes de sua transmissão em qualquer lugar, independentemente de você estiver usando SSL, isso teria feito toda a diferença neste caso. Mais uma vez, o software proprietário faz a diferença.

[Crédito da Imagem: SSL – ShutterStock]

  •  
  •  
  •  
  •  
  •  
  •  
  •  

Compare preços de Uber, 99 e Taxi

Minimum Way

Autor

Profissional na Area de Ti atuando a 20 anos no mercado de TI, com experiencia na Segurança da Informaçao e Criaçao de Portais de Ecommerce em Santa Catarina(Vale do Itajai) e Rio Grande do Sul (Grande POA) , é Desenvolvedor Microsoft de Aplicativos para Windows Phone e Apple IOS for mobile.

Julio Guilherme P Freiberger

Comentários

9 Comments

  • E desde quando software proprietário é imune a falhas de segurança? Se traçar um comparativo geral na história dos softwares, é bem provável que saia perdendo.

    • Ainda não existe brecha de segurança dessa gravidade conhecida no Windows Server.

  • Interessante o artigo, porém muito mal escrito. De qualquer forma, parabéns.

    • Obrigado por sua manifestação Vinicius, mas creio que talvez não tenha entendido alguma coisa, pois está relacionando falha no protocolo de criptografia SSl com falha em browser, não estamos falando da mesma coisa. Mas mesmo assim agradeço sua “Colaboração”.

  • O artigo ia bem até o argumento que software proprietário é melhor e mais seguro. Isso é uma opinião, que não tem embasamento técnico. Conforme o próprio autor coloca, uma vulnerabilidade pode existir, ser utilizada e não deixar vestígios ou ser identificada.
    Melhor é explorar os fatos e não colocar opiniões que não agregam.
    Abraços

    • Caro Marcelo, no momento em que escreve um artigo, você expõe sua opinião, claro que está se sujeitando à críticas, mas isso faz parte do jogo, caso contrário me manteria no anonimato, não sou contra o software livre, inclusive sou filiado a Free Software Foudation, apenas estou opinando com relação direta a esse fato.
      agradeço sua manifestação

  • Não entendi a questão do software proprietário fazer a diferença…

  • Noooossa… Software proprietário é seguro?!! Nunca ouviu falar do “winshock”?!!

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade




Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.