{"id":8169,"date":"2015-03-05T21:53:44","date_gmt":"2015-03-06T00:53:44","guid":{"rendered":"http:\/\/www.ethicalhacker.com.br\/site\/?p=8169"},"modified":"2019-05-29T20:06:23","modified_gmt":"2019-05-29T23:06:23","slug":"conheca-a-freak-a-mais-nova-falha-seria-de-criptografia-na-web","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2015\/03\/noticias\/conheca-a-freak-a-mais-nova-falha-seria-de-criptografia-na-web\/","title":{"rendered":"Conhe\u00e7a a FREAK, a mais nova falha s\u00e9ria de criptografia na web"},"content":{"rendered":"<p style=\"text-align: justify;\"><span style=\"color: #000000;\"><strong>Descoberta recentemente, vulnerabilidade poderia colocar em perigo aparelhos e sistemas da Apple e Google, entre produtos de outras empresas.<\/strong><\/span><\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">Especialistas em seguran\u00e7a est\u00e3o alertando os usu\u00e1rios uma falha s\u00e9ria que aparentemente passou anos sem ser detectada e pode enfraquecer as conex\u00f5es criptografadas entre computadores e sites, potencialmente debilitar a seguran\u00e7a na web.<\/p>\n<p class=\"p2\" style=\"color: #000000; text-align: justify;\">A vulnerabilidade, que foi apelidada de FREAK (de \u201cFactoring attack on RSA-EXPORT Keys\u201d), afeta o protocolo amplamente usado SSL (Secure Sockets Layer) e seu sucessor TLS (Transport Layer Security), e pode permitir que um invasor intercepte tr\u00e1fego supostamente criptografado \u00e0 medida que ele se move entre clientes e servidores.<\/p>\n<p class=\"p2\" style=\"color: #000000; text-align: justify;\">A falha foi descoberta por Karthikeyan Bhargavan, do INRIA, um instituto franc\u00eas de pesquisas em ci\u00eancia e tecnologia, e pela Microsoft Research. Um documento t\u00e9cnico descrevendo o FREAK deve ser apresentado na confer\u00eancia de Seguran\u00e7a e Privacidade, da IEEE, em San Jose, na Calif\u00f3rnia.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">A falha afeta muitos sites conhecidos, assim como programas, incluindo o navegador Safari, da Apple, e o sistema Android, Google, segundo os especialistas em seguran\u00e7a. Os aplicativos que usam uma vers\u00e3o do OpenSSL anterior a 1.0.1k tamb\u00e9m est\u00e3o vulner\u00e1veis ao bug.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">Um porta-voz da Apple anunciou nesta ter\u00e7a-feira, 3\/3, que atualiza\u00e7\u00f5es de sistema para o iOS e o OS X ser\u00e3o lan\u00e7adas na pr\u00f3xima semana. O Google afirmou que distribuiu um patch para seus parceiros que proteger\u00e1 a conex\u00e3o do Android com sites vulner\u00e1veis.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">O problema tem origem nas restri\u00e7\u00f5es de exporta\u00e7\u00e3o impostas pelo governo dos EUA no come\u00e7o dos anos 1990, que proibiam os fabricantes de software de enviar produtos com uma forte criptografia para fora do pa\u00eds, afirmou o professor de ci\u00eancia da computa\u00e7\u00e3o da Universidade de Princeton, Ed Felten.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">Isso significa que algumas empresas enviavam uma vers\u00e3o dos seus produtos com chaves de criptografia mais fracas para uso em outros pa\u00edses. Quando a lei foi alterada e tornou-se legal exportar a criptografia mais forte, \u201co recurso do modo de exporta\u00e7\u00e3o n\u00e3o foi removido do protocolo porque alguns softwares ainda dependiam disso\u201d, disse Felten.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">A vulnerabilidade que ficou conhecida agora essencialmente permite aos invasores fazer downgrade da seguran\u00e7a das conex\u00f5es da criptografia forte para aquela mais fraca, \u201cpara exporta\u00e7\u00e3o\u201d.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">Servidores e aparelhos que usam o OpenSSL, um programa de criptografia open-source, est\u00e3o vulner\u00e1veis, incluindo muitos aparelhos do Google e Apple, sistemas embutidos e outros produtos, segundo um aviso. Servidores ou clientes que aceitam os pacotes RSA_EXPORT tamb\u00e9m est\u00e3o em risco.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">\u00c9 poss\u00edvel fazer o downgrade das chaves ao realizar um ataque man-in-the-middle que interfere com o processo de configura\u00e7\u00e3o de uma conex\u00e3o criptografada. Apesar de existirem defesas no protocolo SSL\/TLS para evitar isso, elas podem ser burladas. A chave mais fraca de 512-bit pode ser revelada usando os computadores poderosos de hoje em dia, e o tr\u00e1fego de dados pode ent\u00e3o ser \u201cdescriptografado\u201d.<\/p>\n<p class=\"p1\" style=\"color: #000000; text-align: justify;\">Os protocolos atuais usam chaves de criptografia maiores, e o padr\u00e3o \u00e9 RSA 2048-bit. As chaves de 512-bit eram consideradas seguras h\u00e1 20 anos, mas um invasor poderia recuperar a chave que precisava muito facilmente hoje em dia usando um servi\u00e7o de nuvem p\u00fablico.<\/p>\n<p class=\"p3\" style=\"color: #000000; text-align: justify;\">\u201cNos anos 1990, isso teria exigido uma computa\u00e7\u00e3o pesada, mas hoje leva cerca de sete horas no Amazon EC2 e custa cerca de 100 d\u00f3lares\u201d, afirmou Felten.<\/p>\n<p>Por tudo isso, as empresas est\u00e3o se mexendo para resolver o problema o mais r\u00e1pido poss\u00edvel.<\/p>\n<p>&nbsp;<\/p>\n<p>Fonte:\u00a0<a title=\"FREAK\" href=\"http:\/\/idgnow.com.br\/internet\/2015\/03\/04\/conheca-a-freak-a-mais-nova-falha-seria-de-criptografia-na-web\/\" target=\"_blank\" rel=\"noopener noreferrer\">http:\/\/idgnow.com.br\/internet\/2015\/03\/04\/conheca-a-freak-a-mais-nova-falha-seria-de-criptografia-na-web\/<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Descoberta recentemente, vulnerabilidade poderia colocar em perigo aparelhos e sistemas da Apple e Google, entre produtos de outras empresas. Especialistas em seguran\u00e7a est\u00e3o alertando os usu\u00e1rios uma falha s\u00e9ria que aparentemente passou anos sem ser detectada e pode enfraquecer as conex\u00f5es criptografadas entre computadores e sites, potencialmente debilitar a seguran\u00e7a na web. A vulnerabilidade, que [&hellip;]<\/p>\n","protected":false},"author":2,"featured_media":8170,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[105],"tags":[],"class_list":["post-8169","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-noticias"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/8169","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=8169"}],"version-history":[{"count":4,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/8169\/revisions"}],"predecessor-version":[{"id":10330,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/8169\/revisions\/10330"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/8170"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=8169"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=8169"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=8169"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}