Uma nova ferramenta para testes de rede de segurança chamado Nogotofail, foi lançado pelo Google ontem. É código aberto e destinado a usuários que desejam contribuir para a melhoria da segurança do Internet. Ele é projetado para fortalecer conexões TLS fracas e verificar problemas do notório SSL 3.0 certificado.
Nogotofail foi criado pela equipe de segurança do Android, e funcionará com todos os dispositivos capazes de se conectar à Internet. Será compatível com todos os sistemas operacionais (Linux, janelas, iOS, andróide, etc.), e seu objetivo principal é prevenir ataques man-in-the-middle devido a TLS ou SSL fracos ou inseguros 3.0 certificados.
Oferecido no serviço de hospedagem baseado na web GitHub, a ferramenta tem como objetivo testar aplicativos mais complicados e substituí-los na configuração de rede, se necessário. Os desenvolvedores de ferramentas incluíram testes para SSL comumente espalhado 3.0 validações de certificado, HTTP e TLS / Bugs da biblioteca SSL, problemas de texto claro e SSL & Problemas de remoção de STARTTLS. Executando tais testes, os usuários geralmente precisam de várias bibliotecas; tudo junto com a mudança da configuração inicial dos aplicativos pode levar ao aumento dos problemas de segurança para o usuário médio.
Os usuários têm a possibilidade de decidir quais dispositivos ou aplicativos estão expostos à vulnerabilidade; eles também podem solicitar informações adicionais para determinar isso e isso pode realmente levá-los a fazer mais e mais testes no final.
‘Há um cliente fácil de usar para definir as configurações e receber notificações no Android e Linux, bem como o próprio mecanismo de ataque, que pode ser implantado como um roteador, Servidor VPN, ou proxy. ', Chad Brubaker, O engenheiro de segurança do Android afirma em um blog sobre a nova ferramenta.
O mecanismo de ataque Nogotofail pode funcionar como um proxy, VPN ou roteador, com o objetivo de ajudar os desenvolvedores a criar testes mais próximos de ataques reais. Ele também deve ser capaz de realizar testes em protocolos que dependem de STARTTLS para determinar se há uma fraqueza no TLS / SSL 3.0 certificados.
→"Nós mesmos usamos essa ferramenta há algum tempo e trabalhamos com muitos desenvolvedores para melhorar a segurança de seus aplicativos. Mas queremos que o uso de TLS / SSL avance o mais rápido possível. ', Conclusão da mensagem de Brubaker. 'Hoje, estamos lançando-o como um projeto de código aberto, para que qualquer pessoa possa testar seus aplicativos, contribuir com novos recursos, fornecer suporte para mais plataformas, e ajudar a melhorar a segurança da Internet.’
