Hoje em dia, a maioria das pessoas está ciente da importância dos certificados SSL / TLS para proteger sites de comércio eletrônico. A maioria dos administradores de sites também tem pelo menos um conhecimento básico dos diferentes tipos de certificados SSL disponíveis e dos diferentes níveis de proteção que eles oferecem.
Poucas pessoas, entretanto, têm um bom entendimento da criptografia por trás do SSL e, especificamente, do fato de que esses protocolos de criptografia são atualizados continuamente. Às vezes, isso permite que o sistema SSL atenda a novos desafios e obtenha funcionalidade aprimorada, como acontece com a pesquisa atual sobre a proteção de dispositivos IoT contra ameaças emergentes usando SSL. Às vezes, no entanto, os protocolos de criptografia precisam ser atualizados porque são considerados inseguros.
Isso costuma ser esquecido por administradores de sites e profissionais de segurança cibernética, que tendem a considerar a segurança do SSL garantida. Neste artigo, vamos ter uma visão mais cética - veremos os recentes ataques cibernéticos bem-sucedidos contra o protocolo SSL e veremos o que eles podem nos ensinar sobre como manter os sites seguros.
POODLE
O primeiro tipo de ataque que abordaremos não é tão recente, mas vale a pena olhar por causa de suas semelhanças com ataques SSL posteriores. O POODLE foi um dos primeiros ataques com sucesso comprovado contra sites protegidos por SSL. “POODLE” significa “Padding Oracle on Downgraded Legacy Encryption” e explorou uma falha na maneira como o SSL 3.0 lidava com o preenchimento do modo de cifra de bloco.
Embora o TLS tenha substituído o SSL 3.0, já que o último é um padrão de criptografia mais antigo, o ataque POODLE se aproveita do fato de que, quando uma tentativa de conexão segura com o TLS falha, a maioria dos servidores volta para o SSL 3.0. Se o hacker conseguir criar uma falha de conexão, ele poderá forçar o uso de SSL 3.0 para iniciar um novo ataque.
Embora esse ataque tenha sido facilmente derrotado pelos administradores de sites atualizando seus protocolos SSL, ele permaneceu (e talvez continue) uma vulnerabilidade perigosa. Isso ocorre porque muitos administradores de sites não sabem qual versão do protocolo SSL estão usando.
Isso não é inteiramente culpa deles, é claro. O conhecimento de que o SSL ajuda a classificar seu site no topo do Google encorajou muitas empresas a simplesmente “comprar um certificado”, sem verificar o quão seguro é o serviço que estão sendo oferecidos. Isso fez com que a criptografia SSL desatualizada se tornasse um dos problemas de segurança mais comuns do WordPress.
DROWN e HEARTBLEED
Se você precisar de prova disso, é facilmente visto em uma série de outros ataques recentes a protocolos de criptografia SSL, ambos explorando vulnerabilidades em protocolos já obsoletos.
Tomemos, como primeiro exemplo, DROWN. Este ataque afetou um grande número de sites HTTPS e significa “Decrypting RSA with Obsolete and Weakened Encryption”. O vetor de ataque aqui era via SSLv2, que mesmo na época em que o ataque surgiu era um protocolo completamente obsoleto. No entanto, muitos servidores ainda oferecem suporte e utilizam SSLv2. Se o seu próprio servidor HTTPS suportar TLS e SSLv2, ele pode descriptografar conexões interceptadas de clientes.
Um segundo exemplo é HEARTBLEED. Essa vulnerabilidade veio à tona em 2014 e explorou uma falha na implementação do OpenSSL, em vez dos próprios padrões. No entanto, o OpenSSL é tão amplamente usado que criou uma espécie de crise quando o bug foi descoberto. Algumas estimativas colocam o número de sistemas afetados em 17% de todos os servidores, SSL, e a vulnerabilidade persistiu por anos devido aos patches e atualizações sendo implementados lentamente.
Durante esse período, o HEARTBLEED era genuinamente perigoso e causou graves danos. Um ataque aos dados do paciente em Community Health Systems foi atribuído a esse bug, assim como o hack da Agência de Receitas Canadense que resultou no roubo de milhares de números de identificação social de cidadãos canadenses.
Proteja-se
Então, há uma lição a ser tirada de todas essas histórias? Bem, sim. Simplificando, você deve baixar todos os patches de segurança disponibilizados para SSL / TLS e garantir que está usando a versão mais recente do protocolo de criptografia SSL. Se você usa OpenSSL, por exemplo, pode encontrar os códigos mais recentes no site do OpenSSL.
Para muitos proprietários de sites, isso será mais difícil do que parece, porque eles não serão diretamente responsáveis pela segurança SSL / TLS que possuem. Muitos sites agora fazem uso de certificados SSL gratuitos que estão disponíveis em provedores de hospedagem na web, por exemplo, e, portanto, terceirizaram sua segurança para seu host.
Nessa circunstância, é de vital importância que os proprietários do site entrem em contato com seu host da web para obter garantia sobre duas questões. Eles devem perguntar qual protocolo SSL / TLS está em vigor em seu site e verificar se não é um sistema obsoleto.
De acordo com o desenvolvedor da web Nathaniel Finch da Best Web Hosting Australia, os três tipos mais comuns de certificados SSL que muitos hosts da web oferecem como parte de seus planos são:
- Certificados SSL DV (Validação de Domínio)
- Certificados SSL OV (Validação da Organização)
- Certificados SSL EV (Extended Validation)
Destes, os certificados EV SSL são os mais avançados e seguros. Mas tão importante quanto escolher provedores de hospedagem que vêm com EV SSL, os proprietários de sites também devem verificar se existe um sistema rigoroso para obter e implementar patches e atualizações para protocolos SSL - seja nos servidores de seus hosts da web, se for onde SSL os certificados são armazenados ou em servidores locais, se necessário.
Conclusão
Obviamente, manter seus certificados SSL atualizados não irá protegê-lo contra todos os ataques. Mais recentemente, vimos sinais preocupantes de que malware criptografado pode escapar da detecção de SSL, por exemplo, e precisaremos de novas ferramentas para combater essas ameaças emergentes.
Certificar-se de que seu sistema SSL / TLS está atualizado, no entanto, é uma daquelas tarefas básicas nas quais uma grande segurança é construída. Como a segurança cibernética é um processo contínuo e não um evento, e como todos estamos começando a perceber a importância da resiliência cibernética, esses princípios básicos precisam estar em vigor antes de você explorar opções mais exóticas.
Na próxima vez que um ataque SSL surgir, certifique-se de não se tornar uma estatística: mantenha seus protocolos SSL atualizados.
Observação: este artigo do blog foi escrito por um colaborador convidado com o objetivo de oferecer uma variedade mais ampla de conteúdo para nossos leitores. As opiniões expressas neste artigo do autor convidado são exclusivamente do contribuidor e não refletem necessariamente as da GlobalSign.
