SSL 3.0, o POODLE pode ser um grande risco

O Open SSL nos apresentou o HeartBleed, que era uma falha de segurança grave no Open SSL, e obrigou a muitos administradores de segurança e de rede a perderem noites de sono pois esta possibilitava um hacker pode obter 64 KB de dados da memória do servidor a cada heartbeat. Pode não parecer muito, mas é possível repetir o processo por várias vezes até que o hacker esteja com muitos dados nas mãos. Esta falha era baseada em uma implementação comum de código aberto muito usada para criar conexões seguras por meio dos protocolos SSL e TLS.

O HeartBleed é muito maior que o POODLE, mas os riscos envolvidos são os mesmo, vazamento de informação sensível. A descoberta da vulnerabilidade no protocolo SSL 3.0 foi denominada POODLE (Padding Oracle On Downgraded Legacy Encryption), esta brecha talvez não seja tão grave quanto o Heartbleed, mas é suficientemente importante para que a equipe de segurança da informação tome cuidados adicionais de segurança.

Um especialista do Google, de nome Bodo Möller, foi quem identificou e explanou que o POODLE explora características de compatibilidade de algumas implementações do TLS (Transport Layer Security), que apesar de ser o protocolo de proteção mais atual e seguro, este permite uma comunicação com servidores que ainda utilizam o SSL 3.0, que apesar de ser uma versão antiga, ainda é amplamente utilizada.

Para se valer da falha, um hacker pode forçar estes serviços a usarem SSL 3.0 para se conectar a um computador na sequencia a criptografia da comunicação pode ser quebrada, simplificando e possibilitando a interceptação ou até mesmo a alteração de cookies e outros dados da conexão. Como resultado, os dados confidenciais do usuário ou da aplicação acabam ficando expostos e podem vazar.

Para combater o problema, o Google recomenda a imediata desativação da compatibilidade com SSL 3.0 nos servidores ou qualquer outro dispositivo que seja responsável pelo gerenciamento de certificados de segurança.

Se sua empresa corre este risco, é melhor agir rápido, pois a porta está aberta e este POODLE não é o seu melhor amigo.

Consiga mais detalhes de forma bem completa e técnica em https://www.openssl.org/~bodo/ssl-poodle.pdf ou em um formato menos detalhado em http://www.wired.com/2014/10/poodle-explained/.

Deixe um comentário

Seu e-mail não será publicado. Campos obrigatórios *