Criptografia SSL: Vulnerabilidade e Ataques Man-in-the-Middle

Um grupo de pesquisadores descobriu que, a partir do momento em que os dados enviados através de uma conexão HTTPS criptografada sofrem compressão prévia, a porta está aberta para os atacantes que, ao modificar o tráfego de dados de forma direcionada, são então capazes de quebrar a criptografia. Essa compressão é suportada por quase metade de todos os servidores Web, incluindo os servidores em muitas organizações proeminentes, tais como o Google e o Twitter. Em face disso, alguns fabricantes de navegadores têm, no entanto, reagido à desativação das funções adicionais que permitem a exploração da vulnerabilidade.


Nesse contexto, os pesquisadores de segurança Juliano Rizzo e Thai Duong, originalmente, pretendem apresentar uma visão detalhada de seu novo ataque de codinome CRIME. A apresentação ocorrerá na próxima semana. CRIME é baseado em um problema que John Kelsey da Certicom, descreveu em 2002 em um artigo intitulado Compression and Information Leakage of Plaintext. Quando um cliente e servidor utiliza o "deflate compression" TLS ou o mais recente protocolo SPDY, um atacante man-in-the-middle poderia extrair cookies de sessão e utilizá-las para comprometer uma sessão criptografada.

Os pesquisadores demonstraram sua técnica em um vídeo utilizando alvos, incluindo os repositórios Dropbox e GitHub. Além disso, uma simples prova de conceito havia sido publicado anteriormente.





Saiba Mais:

[1] Heise On-line http://www.h-online.com/security/new...e-1708604.html