Home Notícias Google descobriu falha no SSL

A segurança é uma questão-chave na Internet e que preocupa muita gente, principalmente para aquelas pessoas que usam constantemente a Internet para gerir as suas contas bancárias, fazer compras online, ou outras tarefas que lidam com os seus dados privados.

ssl3_fail

Uma das formas que se tem visto para resolver e assegurar proteção de informação enquanto se navega na Internet é o uso de uma tecnologia de segurança padrão – SSL (Secure Sockets Layer) – que serve para estabelecer ligações entre os browsers (clientes) e os servidores web de forma segura. O SSL permite que os dados que passam entre os browsers e os servidores web mantenham-se privados e íntegros.

Contudo, surgiu um problema na versão atual do SSL (SSLv3.0), descoberto recentemente por um grupo de investigadores da Google. Este problema veio revelar que os protocolos de cifra das comunicações da Internet têm uma falha grave e que pode colocar em risco a segurança das comunicações, deixando todos os utilizadores que usam essa versão do protocolo vulneráveis a ataques.

O nome dado ao ataque, pela Google, é POODLE (Padding Oracle On Downgraded Legacy Encryption). Poodle é uma vulnerabilidade de segurança inerente ao protocolo SSLv3.0 que é usado para esconder (cifrar) ligações na Web. Com esta falha é possível que alguém com acesso à rede, veja informação confidencial transmitida no acesso a contas bancárias, compras e pagamentos. O Protocolo tem sido regularmente substituído pela família TLS (Transport Layer Security) que é suportada em praticamente todos os browsers.

Foi divulgado uma publicação, onde todo o processo e falha são explicados, bem como algumas recomendações para evitar os ataques, ao qual o único para já conhecido é: desabilitar o protocolo SSL v3.0 no cliente (browsers) ou no servidor web. Todavia, esta não é a melhor prática devido à necessidade de ocasionalmente se trabalhar com sistemas legados.

Um especialista em informática, João Miguel Neves, publicou uma lista que revela muitos bancos portugueses que usam este protocolo de encriptação e também sugeriu algumas maneiras para nos protegermos. Dependendo do browser que usa:

Firefox
Instalar o extra disponível aqui.

Chrome
Fechar o Chrome e todas os programas que usam Chrome. Depois, lançar o Chrome da linha de comando com a opção –ssl-version-min=tls1.

Internet Explorer
Definições -> Opções da Internet -> Avançadas -> Desligar “SSLv3” na secção “Segurança”.

Opera
Por omissão já está corrigido, mas para alguns utilizadores pode ser necessário desligar os protocolos de segurança SSL 2 e SSL 3 em Preferências -> Avançadas -> Segurança -> Protocolos de Segurança.

Safari
Não há ainda solução conhecida, recomendando entretanto, o uso de outros browsers.

Pode testar se está vulnerável em POODLE Test e visitar esta página web criada com o intuito de informar quais os bancos portugueses que atualmente estão com a quebra de segurança e também para fornecer respostas e ajuda de como se proteger.

Deixar um comentário

Este site utiliza o Akismet para reduzir spam. Fica a saber como são processados os dados dos comentários.

Outros Artigos