Tempo de leitura: 2 minutos
Foi identificada uma vulnerabilidade SSL / TLS que os invasores podem usar para fazer o downgrade da criptografia de conexões HTTPS para uma vulnerável à descriptografia. permitindo que invasores escutem as comunicações entre um navegador e um servidor. A gravidade dessa vulnerabilidade é extremamente alta porque os invasores podem usá-la para obter credenciais de login para sistemas confidenciais, como sites de bancos, para cometer fraudes financeiras.
Isso é uma reminiscência das vulnerabilidades Heartbleed e POODLE recentes que também podem ser exploradas para comprometer a comunicação criptografada.
A vulnerabilidade, apelidada de ataque FREAK, envolve o código do projeto OpenSSL como o Heartbleed fez no ano passado. No entanto, o impacto varia de acordo com os navegadores do fornecedor.
Os navegadores Apple Safari e Android foram confirmados como vulneráveis. No entanto, o Chrome não é afetado, nem o Internet Explorer e o Firefox.
Como isso pôde acontecer?
Na década de 1990, o governo dos Estados Unidos queria controlar a exportação do que considerava ser criptografia de “grau de armamento”. Eles permitiriam que a forte criptografia de 128 bits fosse usada nos Estados Unidos, mas os federais queriam que os serviços de inteligência e a aplicação da lei dos EUA tivessem "backdoors" quando se tratasse de comunicações internacionais. Um pacote de criptografia de 40 bits fraco foi introduzido, conhecido como "grau de exportação" para uso fora dos Estados Unidos, que as autoridades americanas poderiam quebrar se necessário.
Embora a maioria dos navegadores não ofereça suporte aos pacotes de 40 bits há anos, eles estão presentes em até um terço das bibliotecas e navegadores SSL. Se o pacote estiver presente em um navegador, um invasor pode montar o que é conhecido como um 'ataque de downgrade', forçando o uso do pacote de criptografia fraco. Usando um ataque man-in-the-middle, o invasor insere um processo entre o navegador e o servidor para interceptar e descriptografar suas mensagens.
Infelizmente, esse recurso ainda está embutido em muitos servidores da Web, até um terço. Um invasor pode forçar os clientes e servidores vulneráveis a usar criptografias fracas de exportação nas conexões HTTPS, interceptar, descriptografar ou alterar mensagens que eles interceptam usando um ataque man-in-the-middle.
O que você deve fazer?
Para que esse tipo de ataque seja bem-sucedido, tanto o servidor web quanto o navegador da vítima devem estar vulneráveis. Se você opera um servidor da web, deve desativar o suporte para todos os pacotes de exportação e todas as cifras não seguras conhecidas. Você deve então ativar o sigilo de encaminhamento. Mozilla publicou um guia e gerador de configuração SSL, que irá gerar configurações boas conhecidas para servidores comuns.
Para usuários da web, você pode verificar se o seu navegador está vulnerável neste site:
https://freakattack.com/clienttest.html
A Apple e o Google estão fazendo correções para seus problemas de navegador, mas este pode ser um bom momento para experimentar o navegador baseado em Chromium da Comodo Comodo Dragon ou o baseado em Firefox Comodo ice Dragon. Ambos têm privacidade incomparável e recursos de segurança e podem ser baixados gratuitamente.
COMECE O TESTE GRÁTIS OBTENHA SEU SCORECARD DE SEGURANÇA INSTANTÂNEO GRATUITAMENTE
- Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
- PlatoAiStream. Inteligência de Dados Web3. Conhecimento Amplificado. Acesse aqui.
- Cunhando o Futuro com Adryenn Ashley. Acesse aqui.
- Compre e venda ações em empresas PRE-IPO com PREIPO®. Acesse aqui.
- Fonte: https://blog.comodo.com/comodo-news/freak-attack-warning-apple-google-devices-vulnerable/
- :tem
- :é
- :não
- 40
- 7
- a
- Todos os Produtos
- permitir
- Permitindo
- tb
- americano
- an
- e
- andróide
- qualquer
- Apple
- SOMOS
- AS
- At
- ataque
- Autoridades
- Bancário
- baseado
- BE
- Porque
- sido
- entre
- Pouco
- Blog
- ambos
- Break
- navegador
- navegadores
- construído
- mas a
- by
- veio
- CAN
- verificar
- Chrome
- crômio
- cifra
- clique
- clientes
- código
- COM
- commit
- comum
- Comunicação
- Comunicações
- Notícias Comodo
- compromisso
- Configuração
- CONFIRMADO
- Coneções
- considerado
- ao controle
- poderia
- Credenciais
- criptografia
- dia
- Descifrar
- Dispositivos/Instrumentos
- DID
- diferente
- do
- Downgrade
- download
- permitir
- criptografada
- criptografia
- aplicação
- Evento
- exploradas
- explorador
- exportar
- extremamente
- Característica
- Funcionalidades
- Feds
- financeiro
- fraude financeira
- Firefox
- Escolha
- força
- estrangeiro
- para a frente
- fraude
- Gratuito
- da
- gerar
- gerador
- ter
- Bom estado, com sinais de uso
- Governo
- grau
- guia
- acontecer
- Ter
- coração sangrado
- Alta
- Contudo
- HTML
- http
- HTTPS
- identificado
- if
- Impacto
- in
- INFORMAÇÕES
- inseguro
- Inserções
- instantâneos
- Inteligência
- Internet
- Internet Security
- introduzido
- questões
- IT
- ESTÁ
- jpg
- conhecido
- Sobrenome
- Ano passado
- Escritórios de
- aplicação da lei
- bibliotecas
- entrar
- homem
- muitos
- max-width
- mensagens
- Coração
- poder
- a maioria
- MONTE
- Mozilla
- devo
- necessário
- notícias
- obter
- of
- on
- ONE
- openssl
- operar
- or
- lado de fora
- platão
- Inteligência de Dados Platão
- PlatãoData
- presente
- política de privacidade
- Privacidade e segurança
- processo
- projeto
- publicado
- recentemente
- a que se refere
- que faz lembrar
- s
- Safári
- Scorecard
- segurança
- enviar
- sensível
- Servidores
- Serviços
- rede de apoio social
- local
- Locais
- SSL
- Unidos
- Ainda
- mais forte,
- suceder
- tal
- suíte
- ajuda
- Suportado
- sistemas
- que
- A
- deles
- então
- deles
- Terceiro
- isto
- tempo
- para
- tentar
- tipo
- nos
- Governo dos EUA
- Unido
- Estados Unidos
- incomparável
- us
- usar
- usava
- usuários
- utilização
- fornecedor
- vulnerabilidades
- vulnerabilidade
- Vulnerável
- querido
- aviso
- foi
- web
- servidor web
- O Quê
- O que é a
- quando
- qual
- precisarão
- seria
- ano
- anos
- Vocês
- investimentos
- zefirnet