Pesquisadores do Google Bodo Möller, Thai Duong & Krzysztof Kotowicz anunciou ontem que descobriu recentemente o Padding Oracle On Downgraded Legacy Encryption, conhecido como POODLE, estar atacando o SSL 3.0 versão da chave de criptografia pública introduzida pela Microsoft em 1996. No 1999 a chave foi substituída por uma versão mais recente, conhecido pelo nome de TLS 1.0, mais dois vindo depois disso (TLS 1.1 & TLS 1.2) mas a grande maioria dos sites e navegadores ainda usa os aplicativos mais antigos, versão menos segura do certificado. O que o POODLE faz é aproveitar quando alguém faz o downgrade para a versão mais antiga, se não conseguir estabelecer uma conexão segura. O downgrade pode ser acionado por falhas na rede ou ataques de hackers ao vivo também.
Por que todo mundo ainda está usando SSL 3.0 Quando está quase 20 Anos?
"O problema é que a internet tem um monte de partes móveis que evoluem independentemente uma da outra"., pesquisador de segurança Troy Hunt diz. …. ‘E assim é com SSL; quando duas partes (digamos um navegador e um servidor) estão em diferentes estágios de evolução e oferecem suporte para diferentes versões, eles poderiam levantar as mãos e dizer 'Nós simplesmente não podemos nos dar bem’ ou eles podem comprometer e voltar a uma versão comum que ambos podem suportar. O último é o mais utilizável, e é isso que acontece com frequência. (Aliás, isso acontece implicitamente e sem a interação do usuário. É um recurso.)’
Maneira de agir do bug de POODLE
Geralmente, aparece quando alguém está usando uma conexão Wi-Fi pública não segura e é pouco provável que isso aconteça se você estiver em casa, usando conexão protegida por Wi-Fi. Ele usa a técnica chamada Man-in-the-Middle. Se você estiver sentado em um cyber café ou em outro lugar com Wi-Fi não seguro, por exemplo, um hacker sentado ao seu lado, usando a mesma conexão não segura, pode forçar a rede a fazer o downgrade para SSL 3.0, assim, você pode navegar pelos mesmos lugares que está visitando na Internet no momento. A tecnologia não pode roubar senhas ou outros dados de verificação do usuário, mas se alguém sentado ao seu lado puder ver o que vê no momento, poderá navegar pelos seus e-mails, Facebook, ou mensagens do Twitter sem nenhum problema.
Proteção contra ataques POODLE
Existem algumas coisas que você pode fazer para proteger você e seus dados contra esses ataques.
- Em primeiro lugar, não entre em sites que contenham informações pessoais em locais com Wi-Fi gratuito, se possível. Se você realmente deve fazê-lo, use proteção VPN, se possível, eles não são mais usados apenas para o trabalho e, com um pouco de orientação, qualquer pessoa pode estabelecer essa conexão.
- Segundo, tenha cuidado com os sites que você está visitando ao usar conexões não seguras. Os invasores precisam de um código de script Java especialmente projetado para fazer o downgrade para SSL 3.0 e acessar suas informações e pode induzi-lo a visitar esses sites, se possível.
- A terceira e melhor solução para você é desativar o SSL 3.0 certificado dos navegadores que você está usando. Em seu próximo lançamento em 25 Em novembro deste ano, o Mozilla o removerá por padrão.
O Google está retirando o código do Chrome no momento. O uso de versões posteriores ao IE6 da Microsoft também pode resolver o problema, A Microsoft também postou um guia oficial como removê-lo do navegador você mesmo. Há rumores de que o Safari da Apple o remova em seu próximo lançamento, mas infelizmente, nenhuma informação oficial foi encontrada.
Há duas páginas testando se você está vulnerável ao POODLE ou não – poodletest.com e poodle.io. Eles são bastante divertidos e contêm guias sobre como proceder se você também estiver vulnerável. Tente vê-los e consertar seus navegadores - vale a pena!
