• Nova Ferramenta DoS Derruba Servidores Criptografados

    Publicado em 25-10-2011 22:06
    0 Comentários Comentários
    Um grupo que se auto denomina The Hacker's Choice (THC), lançou uma ferramenta que permite que um único computador, possa desativar um servidor criptografado. O conceito utilizado pela ferramenta, baseia-se em forçar o servidor a renegociar a chave usada para criptografia. O ato de criptografar e decriptografar os dados de carga útil para serviços como o https, não é particularmente resource-hungry.

    Onde uma conexão https realmente intensifica o uso de recursos, é quando ela precisa estabelecer a conexão SSL, que envolve a negociação de chaves. Isto é, em parte, porque a criptografia de dados é realizada utilizando algoritmos simétricos altamente eficientes, como AES.

    Mas, para negociar a chave de sessão AES, o protocolo SSL precisa utilizar muitos recursos, tais como algoritmos assimétricos RSA. Isto é devido tanto o ao processo matemático específico envolvido, e o comprimento da chave necessária. O AES, por exemplo, exige 128 ou 256 bits, enquanto a RSA exige chaves de 1024 ou mesmo de 2048 bits.


    SSL-DoS: Geração de Conexões em Paralelo e Ataques à Serviços de E-mail

    A nova ferramenta SSL-DoS do THC, faz uso disso para gerar enormes cargas em servidores https, usando um mínimo de largura de banda. Depois de estabelecer uma conexão, ele repetidamente faz pedidos de renegociação da chave; ao fazê-lo, pode gerar até 1.000 conexões em paralelo. Nesse cenário, de acordo com o THC, isso significa que um laptop padrão é capaz de desativar um "average server" através de uma única conexão broadband.

    Em virtude de tudo isso, o que pode ser considerado particularmente preocupante é o fato de que isto não está limitado a servidores Web, mas também pode ser utilizado para atacar os serviços de e-mail, e outros servidores que usam conexões SSL criptografadas. Uma solução para este problema, é desativar a chave de renegociação em configurações SSL, mas poucos clientes usam este recurso. Se o fizerem, certamente frustrarão a ferramenta do THC, mas não abordarão o problema fundamental. Porém, o THC observa que o programa pode ser facilmente modificado.

    Vale ressaltar que o código fonte da ferramenta, contém uma referência a uma versão privada com funcionalidade estendida. A versão modificada é aparentemente capaz de "nocautear" um farm inteiro de servidores com balanceamento de carga SSL, utilizando apenas 20 computadores.

    O motivo pelo qual a ferramenta foi lançada agora ao público de maneira "oficial", é devido ao fato de sua existência ter "vazado" há alguns meses. Em uma postagem Em um post sobre o lançamento, os membros do THC abordaram direitos civis, liberdade de expressão e da insatisfação natural com a segurança do SSL em geral. Mesmo com essas citações, não ficou clara a conexão entre esses problemas e o lançamento de sua ferramenta.

    Com o comportamento apresentado, o THC vem fomentando discussões sobre o futuro da criptografia baseada em SSL. Nos últimos meses, SSL tem sido notícia em relação aos certificados falsos, em uma combinação nefasta para minar a fé no modelo de confiança hierárquica. Os ataques bem sucedidos do mês passado sobre a criptografia real e agora esta nova ferramenta DoS, levanta questões sobre a confiabilidade de todos os serviços SSL. Isso têm mostrado que os fundamentos técnicos do SSL estão longe de se tornarem sólidos.


    Links de Interesse:

    -The Hackers Choice
    -THC.Org
    -SSL-DoS
    + Enviar Comentário