quinta-feira, 5 de março de 2015

Cientistas descobrem uma falha séria de criptografia na Web oculta a anos, o Freak.

Problema teria iniciado nos anos 90.
Usuários estão sendo alertados por especialistas em segurança sobre uma falha séria que aparentemente passou anos sem ser detectada e pode enfraquecer as conexões criptografadas entre computadores e sites, potencialmente debilitar a segurança na web. A vulnerabilidade, que foi apelidada de FREAK (de “Factoring attack on RSA-EXPORT Keys”), porque a falha de segurança reside nas chaves de encriptação, afetando o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security), e pode permitir que um invasor intercepte tráfego supostamente criptografado à medida que ele se move entre clientes e servidores.

A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto francês de pesquisas em ciência e tecnologia, e pela Microsoft Research. Um documento técnico descrevendo o FREAK deve ser apresentado na conferência de Segurança e Privacidade, da IEEE, em San Jose, na Califórnia. A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em segurança. Os aplicativos que usam uma versão do OpenSSL anterior a 1.0.1k também estão vulneráveis ao bug. Um porta-voz da Apple anunciou nesta terça-feira, 3, que atualizações de sistema para o iOS e o OS X serão lançadas na próxima semana. O Google afirmou que distribuiu um patch para seus parceiros que protegerá a conexão do Android com sites vulneráveis. O Google sublinhou que o seu navegador, o Chrome, não é vulnerável ao FREAK, apenas o browser instalado nos dispositivos Android. A empresa já garantiu que nas próximas semanas vai fornecer aos seus "parceiros" as respectivas atualizações para o sistema que irão resolver o problema nos smartphones.
 
O problema tem origem nas restrições de exportação impostas pelo governo dos EUA no começo dos anos 1990, que proibiam os fabricantes de software de enviar produtos com uma forte criptografia para fora do país, afirmou o professor de ciência da computação da Universidade de Princeton, Ed Felten. Isso significa que algumas empresas enviavam uma versão dos seus produtos com chaves de criptografia mais fracas para uso em outros países. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, “o recurso do modo de exportação não foi removido do protocolo porque alguns softwares ainda dependiam disso”, disse Felten.

A vulnerabilidade, que ficou conhecida agora, essencialmente permite aos invasores fazer downgrade da segurança das conexões da criptografia forte para aquela mais fraca, “para exportação”. Servidores e aparelhos que usam o OpenSSL, um programa de criptografia open-source, estão vulneráveis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT também estão em risco.

Não há forma de determinar em quantos casos esta falha de segurança já terá sido usada para entrar nos computadores dos cibernautas. Por tudo isso, as empresas estão se mexendo para resolver o problema o mais rápido possível.
 




> Comunidade Brasileira de Sistemas de Informação
> Fundada em 13 de Outubro de 2011
> E-mail: comunidadebsi@gmail.com
Local: Manaus, Amazonas, Brasil.

‍



Geeks Online: