Blog

Entre um trabalho e outro, às vezes conseguimos escrever alguma coisa...

A difícil arte de se manter seguro na Internet

Estar seguro online é uma preocupação importante. Para quem trabalha com infraestrutura, os tempos são difíceis. Os terroristas virtuais, que antes chamávamos pelo nome inocente de hacker, estão à solta. Invasões e pragas se espalham.

Em outubro do ano passado, a descoberta da falha POODLE derrubou a implementação 3 do SSL ( Secure Sockets Layer), o cadeado do navegador que indica quando estamos em uma página "segura", que criptografa os dados transmitidos (por exemplo, números de cartões de crédito). Embora o problema tenha sido pouco divulgado na época, ficando restrito a sites ou blogs técnicos, foi um problema de grande proporção: afetou a segurança de qualquer internauta que acessa sites que usavam a versão 3 do SSL (a "melhor" até então) para fazer compras online, acessar sites com uma senha ou transmitir informações via Internet. A falha POODLE nos obrigou a desativar SSL versão 3.

E ontem, uma nova falha foi descoberta. Indexada como CVE-2015-0204 [1] e batizada de FREAK (aberração), a falha existe há pelo menos uma década e permite que uma pessoa em posição de monitorar tráfego de dados ( man in the middle) possa descriptografar o conteúdo sendo transmitido. A um custo baixo (100 dólares por site) e podendo ser feito num período de 7 horas, o ataque permite expor os dados que deveriam ser sigilosos.

O nome FREAK é uma alusão ao termo técnico que explica o problema: Factoring attack on RSA-EXPORT Keys. Explicando: é possível ao atacante injetar informações nos dados transmitidos que fazem com que a segurança da conexão seja baixa, diminuindo o nível de criptografia usada na transmissão, e assim, facilitar a descriptografia dos dados.

O site americano Ars Tecnica [2] informou sobre um teste recente em 14 milhões de site que revelou 36% deles vulneráveis ao ataque. Até agora se sabe que navegadores no Iphone, em celulares Android e em computadores Mac são atacados.

Um site foi publicado com detalhes do ataque [3] e lista quais sites entre os primeiros 10 mil do ranking Alexa estão vulneráveis. O primeiro site brasileiro encontrado na lista é o do Itaú, na posição 903. Uma análise da qualidade de criptografia do site do Itaú, analisada pela Qualys [4], indicou nota "C" (notas vão de A, a melhor, até F, a pior).

Nossos clientes podem ficar tranquilos. Parte do serviço de suporte da Opera House envolve configurar, atualizar, monitorar e manter todo o software do servidor de hospedagem. E nós utilizamos o mesmo serviço que fornecemos a nossos clientes.

O servidor da Opera House foi submetido ao mesmo teste SSL da Qualys e obteve grau A:

Uma varredura no endereçamento IPv4 revelou 26.4% de sites vulneráveis [3].

Alguns sites brasileiros que aparecem na lista de sites vulneráveis ao ataque FREAK [3]:

  • itau.com.br
  • extra.com.br
  • pointofrio.com.br
  • estadao.com.br
  • casasbahia.com.br

Para saber mais:

[1] Vulnerability Summary for CVE-2015-0204
https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-0204

[2] “FREAK” flaw in Android and Apple devices cripples HTTPS crypto protection
http://arstechnica.com/security/2015/03/freak-flaw-in-android-and-apple-devices-cripples-https-crypto-protection/

[3] Tracking the FREAK Attack
https://freakattack.com

[4] Teste SSL da Qualys
https://www.ssllabs.com/ssltest/analyze.html