SSL. Será que é seguro mesmo?

SÃO PAULO – Pesquisador mostra formas de burlar a criptografia SSL, que provê segurança em sites como os de e-commerce.

Na conferência de segurança Black Hat, realizada há alguns dias em Washington, o pesquisador Moxie Marlinspike apresentou a palestra  “New Tricks for Defeating SSL in Practice” – algo como “Novos Truques para Desafiar o SSL na Prática”. Na exposição, Marlinspike discorreu sobre várias formas de praticar esse desafio.

Uma delas consiste no uso de uma ferramenta chamada SSL Strip, que pode ser implantada numa rede e usada por um intermediário que se posta entre o servidor e o usuário final. O SSL Strip quebra a criptografia SSL, mas faz o internauta acreditar que ainda está usando uma conexão segura. A URL começa https:// e o browser exibe o pequeno cadeado fechado.

• Na verdade esse truque não é novo. Idéia nada original por parte do "pesquisador" Moxie Marlinspike. De fato voce pode implementar o mesmo truque usando um proxy reverso (localmente). Depois, para completar o ataque MITM voce só precisa fazer um ARP Spoof na vítima fazendo o computador dela pensar que voce é o gateway da rede local. Ao contrário do que foi informado aqui pela Info Exame, a URL não começa com https:// (mas o cadeado sim, aparece fechado). Também esta errado afirmar que o SSL Strip "quebra" a criptografia. O que acontece de verdade é que o trafego continua encriptado até chegar ao software intermediario (SSL Strip) e depois de desencriptar (sem que o usuário perceba) o tráfego http puro é retornado ao cliente (vítima). Mantenha contato, 2600@bol.com.br
  enviado por: Mike Benham em 02/03/2009 - 21:58

comentar