Você usa o Gmail? E o Facebook? E sites de compra online? Todos esses
sites dependem do SSL, uma tecnologia baseada em certificados digitais que criptografa a comunicação entre seu browser e um servidor web. Visualmente é aquele ícone de cadeado no navegador.
Só
que dois pesquisadores conseguiram quebrá-lo. Os caras são Thai Duong e Juliano Rizzo. Esta semana, segundo o The Register,
eles vão mostrar ao mundo como acabar com o SSL do PayPal usando "apenas
um pouquinho de código, subvertendo todo o processo de criptografia e
deixando seus dados, em grande parte privados, abertos a quem quiser
ver". As implicações disso são enormes.
O problema está no que se
chama de TLS, a mais nova geração do SSL. O TLS 1.0 é vulnerável. O TLS
1.1 e 1.2 não são suportados por praticamente nenhum navegador. Os sites
não querem sair do 1.0, porque não querem perder todos que visitam seu
site – o que complica as coisas.
Se o exploit foi divulgado em
público, tanto quem desenvolve browsers como quem administra websites
serão forçados a usar uma versão mais segura do TLS. A transição, eu
imagino, terá seus obstáculos. Mas ao menos Duong e Rizzo encontraram o
problema antes de alguém que não planeja demonstrá-la em uma conferência
legítima de segurança, certo?
Com informações: The Register e Gizmodo Brasil
0 comentários:
Postar um comentário