2014/06/07

OpenSSL tem vulnerabilidade que permite ataque "man in the middle"


Ainda temos a internet a recuperar do Heartbleed que revelou uma vulnerabilidade gritante no OpenSSL, e eis que agora se descobre uma nova vulnerabilidade que permite que um atacante possa ter acesso às comunicações entre um servidor e um cliente que usem determinadas versões do OpenSSL.

Esta nova vulnerabilidade é igualmente grave uma vez que o SSL é um método que é usado precisamente para manter em segurança comunicações que passam por inúmeros pontos intermédios, de forma a que só o destinatário e o emissor tenham acesso ao que está a ser transmitido/recebido. Devido a isto, um atacante que esteja colocado entre o servidor e o cliente poderá descodificar essas comunicações encriptadas, e enganar o sistema de modo a que seja usado uma chave de segurança vulnerável.

A única atenuante é que para que este ataque seja possível é necessário que ambas as partes estejam a correr determinadas versões do OpenSSL (curiosamente, as versões mais antigas parecem ser por agora as mais seguras, contrariamente ao que seria de imaginar); e uma vez que os browsers mais populares (Chrome, Firefox, IE, Safari, etc.) não usam OpenSSL, os seus utilizadores ficam imunes a esta vulnerabilidade.

Ainda assim, fica mais uma vez posta em causa a real segurança de projectos open-source que são essenciais para grande parte dos sistemas na internet, e que são mantidos sem qualquer suporte oficial apenas por voluntários... e sujeitos a erros como os que têm gerado todas estas confusões. Esperemos que o resultado positivo que daqui saia seja: se há grandes empresas/entidades a tirar proveito destes projectos open-source, o mínimo que podem fazer é apoiá-los de forma proporcional, para melhorarem e garantirem a qualidade dos mesmos.

2 comentários:

  1. devida ser toda encriptada a net, está mais que visto que assim não é possivel.
    cortava a censura que alguns governos querem impor.
    e todos ouviamos mais ideias.

    ResponderEliminar
  2. E deviam apoiar os sistemas opensource, na crise que estamos a viver! Pelo menos nos países pobres!

    ResponderEliminar