O Fim da Segurança SSL/Early-TLS na Web em 30 de Junho, Deixou Potencialmente Milhares de Sites Vulneráveis às Vulnerabilidades Beast e Poodle
A Internet é sem dúvida uma entidade complexa composta literalmente por milhões de sites, inúmeros servidores, portais de dados e até unidades de armazenamento em nuvem. Somente a vastidão da Internet é suficiente para surpreender o cientista de foguetes mais sofisticado ao ver suas complexidades e quantidades quase infinitas de dados transmitidos diariamente. A tarefa de proteger dados que não devem ser colocados em mãos erradas tem sido uma luta constante, desde que a existência da Internet e a implementação de variações mais antigas das camadas de segurança nos sites cheguem a um fim abrupto.
As versões mais antigas do SSL (Secure Sockets Layer) e do TLS (Transport Layer Security), que centenas de milhares de sites ainda utilizam, terminarão em sua forma desatualizada em 30 de junho de 2018 para PCI DSS (Payment Card Industry) Padrão de segurança de dados). Basicamente, sites que não cumprem a conformidade com PCI DDS não podem mais aceitar cartões de crédito ou realizar transações monetárias.
SSL e TLS são camadas de segurança comuns utilizadas nos navegadores da web que iniciam uma conexão segura para transmitir dados. Fundamentalmente, o TLS, que é uma versão atualizada e mais segura do SSL, é um padrão usado em certificados de segurança emitidos para sites, para que eles possam criptografar dados transmitidos pela Internet. Os sites que usam as camadas de segurança mais antigas estarão vulneráveis a vulnerabilidades populares e serão forçados a aplicar certificados de segurança atualizados antes de serem atacados pelas vulnerabilidades conhecidas como Beast e Poodle.
Atualize Agora ou Enfrente a Mordida da Besta e do Poodle
As vulnerabilidades que centenas de milhares de sites que utilizam camadas de segurança, cujo suporte será encerrado em 30 de junho de 2018, são apelidadas de Beast e Poodle. As vulnerabilidades Beast e Poodle são entidades de ataque que têm como alvo o tráfego seguro da Internet, alavancando operações desatualizadas de certificados SSL/TLS. Essas conexões de segurança deixarão de existir usando aplicativos atualizados de navegador da web após a data de 30 de junho de 2018, se os sites desejarem permanecer em conformidade com o PCI DSS.
O impacto do Beast e do Poodle será visto em um novo nível após a data de 30 de junho, e os sites que não aplicaram certificados de segurança SSL ou TLS atualizados se tornam vulneráveis a ataques. Na maioria dos casos, ataques que alavancam a vulnerabilidade do Poodle injetam código JavaScript malicioso para iniciar um ataque que inicia cerca de 256 solicitações para descobrir um único caractere de cookie. Dentro desses caracteres de cookie, que exigirão várias solicitações repetidas para descobrir, os dados ocultos podem ser revelados e coletados por um cibercriminoso.
A maioria dos sites ficará bem, mas poucos podem ser os culpados de contratempos nos dados
Atualmente, a maioria dos sites usa o TLS 1.2, que é um requisito aceito por muitas empresas, escritórios governamentais e equipamentos fortalecidos, como instituições bancárias. Os autores de aplicativos de navegador da Web também têm a obrigação de garantir aos usuários finais das conexões de segurança TLS 1.2 versus as camadas de segurança desatualizadas e quase inoperantes. Infelizmente, os usuários não identificarão claramente sites de certificados desatualizados ou que estejam usando o nível de segurança TLS mais recente, a menos que haja um identificador ou método claro de verificação de uma conexão segura no aplicativo de navegador da web. Felizmente para a maioria, os aplicativos da Web fazem um bom trabalho agora, identificando conexões de segurança estabelecidas, na maioria das vezes na barra de endereços da URL. Alguns aplicativos de navegador da web lançaram atualizações para contornar e atenuar os problemas de vulnerabilidade do Beast and Poodle. No entanto, a utilização de um navegador mais antigo ou desatualizado pode colocar em risco os usuários de computador.
Segundo relatos, analisando muitas fontes de segurança da Internet, um grande número de sites e serviços está finalmente encerrando o suporte ao TLS 1.0 e 1.1 desatualizado e quase morto, que antes eram vulneráveis a ataques Poodle e Beast no passado. A segurança enfraquecida de variações mais antigas de TLS e SSL sucumbiu a muitos ataques desde sua introdução em 1999. A criptografia usada em protocolos mais antigos de TLS e SSL foi abusada várias vezes e no devido tempo que os sites os colocam para descansar e começar a utilizar as últimas Versão TLS 1.2 e posterior TLS 1.3, que, esperamos, será lançada dentro do ano para implementar medidas de segurança aprimoradas para conectividade de criptografia de sites.
Recomenda-se enfaticamente aos usuários de computador que prestem atenção especial ao status de conexão de qualquer site visitado. É especialmente importante verificar uma conexão segura ao usar sites que transmitem dados pessoais, como seu site bancário, sites governamentais e até redes de mídia social como o Facebook . Afinal, o recente desastre de exposição de dados do Facebook deve ser suficiente para assustar os usuários de computador a verificarem uma conexão segura com qualquer site que eles visitem e renunciarem a informações pessoais.