E se a chave da sua casa fosse partilhada com 28 mil outros lares?
Isto é essencialmente o que os investigadores da Royal Holloway da Universidade de Londres descobriram na semana passada, durante um “scanning” na Internet para ver quantos servidores e dispositivos ainda são vulneráveis à falha de segurança conhecida como FREAK.
Revelada a 3 de Março, a falha permite que um atacante tenha acesso às informações que trafegam por uma conexão protegida pelo protocolo SSL/TLS (Secure Sockets Layer/Transport Layer Security). Esta foi a última de uma série de falhas encontradas ao longo do último ano no amplamente utilizado software open source.
Mais de um quarto dos hosts estavam vulneráveis à FREAK. Na semana passada, investigadores da Royal Holloway decidiram ver que percentagem ainda não tinha resolvido o problema.
Kenneth G. Paterson, professor do Information Security Group da Royal Holloway e co-autor do trabalho de pesquisa, caracteriza-o como um pequeno projeto que produziu resultados surpreendentes.
Os pesquisadores analisaram todo o espaço de endereços IPv4 usando o ZMap, olhando para os “hosts” que permitiriam um ataque FREAK, o que envolve forçar um “host” a aceitar uma chave criptográfica RSA de 512 bits para garantir uma conexão.
As chaves criptográficas com esse tamanho foram consideradas inseguras há mais de 15 anos. Na década de 1990, o governo dos EUA restringiu a exportação de produtos com chaves maiores e mais fortes. Mesmo após essa exigência ter sido abandonada, muitos produtos ainda suportam a versão mais fraca.
O resultado da pesquis? 9,7% dos cerca de 23 milhões de “hosts”, ou cerca de 2,2 milhões, ainda estão aceitando chaves de 512 bits – um número surpreendente, considerando a gravidade da falha FREAK e mais de duas semanas após o problema ter sido divulgado.
Mas os investigadores também fizeram uma outra descoberta surpreendente: muitos “hosts” – que podem ser servidores ou outros dispositivos ligados à Internet – compartilham a mesma chave pública de 512 bits, disse Paterson.
Num exemplo notório, 28.394 routers com um módulo SSL VPN usam todos a mesma chave pública RSA de 512 bits.
Isto nunca deveria ter acontecido.
Muito provavelmente, um fabricante gerou uma chave e depois instalou-a em muitos e diversos dispositivos. “É preguiça por parte do fabricante”, diz Paterson em entrevista ao IDG News Service. “É um pecado cardinal. Um bom exemplo de como não se deve usar a criptografia”.
Fonte: CIO
0 comentários:
Postar um comentário