Será que o SSL foi quebrado?

Uma apresentação ocorrida em recente conferência de segurança em Berlim detalhou um trabalho de pesquisa que, aparentemente, pode ameaçar a reputação do maior protocolo de segurança da Internet, o SSL. Na realidade, não há nenhuma ameaça real por enquanto – e devemos agradecer aos pesquisadores por isso. Uma pequena parte do trabalho de implementação do SSL (Security Sockets Layer) envolve o uso de funções de hash. Muitas autoridades certificadas ainda utilizam uma função de hash velha e fraca, chamada MD5.

Um comprometimento dessa função permitiu aos pesquisadores criarem seus próprios certificados SSL, que seriam identificados como confiáveis por qualquer browser disponível atualmente.

O problema específico dos certificados baseados em MD5 será muito provavelmente sanado em breve, antes que algum hacker seja capaz de duplicar o trabalho e lançar o ataque de phishing definitivo – ou seja, aquele em que um site falso parecerá totalmente autêntico. Porém, outros comprometimentos do SSL aparecerão no futuro, talvez envolvendo abordagens similares.

Você precisa estar sempre atualizando seus mecanismos de defesa e jamais rodar programas antigos, mesmo que eles tenham sempre funcionado bem. Software velho é garantia de insegurança.

If you enjoyed this post, please consider to leave a comment or subscribe to the feed and get future articles delivered to your feed reader.

TAMBOR DIGITAL © Copyright 2007
Todos os direitos reservados