Transformando o seu negócio em uma economia digital com memória flash
Pesquisadores de segurança desenvolveram um novo ataque man-in-the-middle contra a TLS protocolo de criptografia - um protocolo que é usado para criptografar banco on-line e fazer compras, e outras conexões sensíveis, para frustrar bisbilhoteiros.
O chamado ataque triplo aperto de mão pode, em certas condições, burlar verificações vitais realizadas para verificar a identidade de um usuário que se conecta a um servidor através de uma conexão segura.
Em outras palavras, é possível para um sistema malicioso para interceptar credencial de login de um usuário (um certificado de cliente , neste caso) e mascarar-se como que vítima com qualquer servidor que também aceita a mesma credencial.
A falha peculiar foi descoberto por pesquisadores de segurança do Instituto Nacional Francês para Pesquisa em Ciência da Computação e Controle (INRIA) e baseia-se em seu trabalho anterior no campo.
O ataque também tem implicações para a segurança do protocolo SSL (Secure Sockets Layer), o antecessor ainda é amplamente usado para TLS (Transport Layer Security), como explicam os pesquisadores em seu site:
Nós descobrimos uma nova classe de ataques contra aplicações que dependem da Internet TLS padrão para proteger suas comunicações. Essencialmente, se um usuário se conecta a um site malicioso e apresenta um certificado de cliente TLS, o site mal-intencionado pode, então, representar o usuário em qualquer outro site que aceita o mesmo certificado de cliente TLS. Os ataques de trabalhar com todas as versões TLS e SSL, bem como a variante DTLS.
Como você deve ter notado, sites on-line e serviços similares costumam usar nomes de usuários e senhas em vez de certificados de cliente TLS aos usuários acesso, que limita o impacto do ataque. Na prática, a falha torna-se mais de um problema quando se trata de fazer login em pontos de acesso Wi-Fi gratuito.
"Variantes de nossos ataques se aplicam a cenários específicos de protocolos de autenticação padrão que dependem de TLS, como o mecanismo de autenticação PEAP Wi-Fi", explicaram os pesquisadores, acrescentando que a sua exploração é semelhante a uma falha de criptografia anteriormente descoberto - o de 2009 e Ray Rex TLS ataque renegociação.
Os pesquisadores - Karthikeyan Bhargavan, Antoine Delignat-Lavaud, Cédric Fournet, Alfredo Pironti e Pierre-Yves Strub - defendem reduções ao nível da aplicação de curto prazo, bem como mudanças de longo prazo para o protocolo TLS para fortalecer o padrão e proteger seus usuários contra este último ataque e outros assaltos na mesma linha.
"Deixe-me enfatizar que os ataques encontramos explorar um assunto em nível de protocolo, e não erros de implementação específicos", disse Pironti El Reg.
"Propomos também a mitigação ao nível da aplicação de curto prazo, mas pretendemos ficar o protocolo fixo, o que resolveria o problema em sua raiz."
A equipe francesa já notificaram principais fornecedores de implementações de software TLS (a Microsoft, o Google e outros), bem como a Internet Engineering Task Force ( IETF ) sobre suas pesquisas. Os especialistas divulgada publicamente o ataque e possíveis contramedidas em uma reunião IETF em Londres na terça-feira à noite.
Um esboço de sua pesquisa foi postada à frente desta reunião em uma lista de discussão IETF na segunda-feira. Um projecto que detalha as mudanças propostas para fortalecer o protocolo TLS pode ser encontrada aqui .
"As pessoas não devem entrar em pânico '
Profissionais Infosec ea reação inicial dos programadores para a pesquisa Triplo Handshakes foi cauteloso.
"Em suma, o aperto de mão TLS hashes em muito pouca informação, e sempre tem. Devido a isso, é possível sincronizar o estado de duas sessões TLS de uma maneira que rompe as suposições feitas no resto do protocolo," senior engenheiro de software do Google Adam Langley explicou em seu site pessoal .
"Eu gostaria de agradecer aos pesquisadores para fazer um trabalho muito bom de divulgar isso. [Eles] ainda incluído um projecto para a fixação da chave derivação TLS para incluir todas as informações necessárias para acabar com este ataque.
"As pessoas não devem entrar em pânico. O impacto desse ataque é limitado a sites que usam TLS autenticação do cliente em certificado com a renegociação, e os protocolos que dependem de ligação do canal. A grande maioria dos usuários nunca usou certificados de cliente."
Marsh Ray, um especialista de autenticação da Microsoft, observou : "Criticidade é difícil de avaliar."
Chris Eng, outro especialista em segurança, metade brincou : "Eu só vou fazer o que eu costumo fazer e esperar por @ TQBF [Thomas H. Ptacek] para nos dizer se o assunto SSL / TLS vuln (s). "
Pironti e outros pesquisadores da INRIA anteriormente descoberto uma forma de explorar falhas em serviços de e-mail da web do Google e da Microsoft usando uma falha na tecnologia TLS. ®
Nenhum comentário:
Postar um comentário