web analytics

o que é Vulnerabilidade Poodle

Pensamos em começar o artigo de uma maneira mais leve, fazendo uma relação entre a vulnerabilidade POODLE e o cachorro Poodle, mas seria infame demais…

… sem contar que o assunto é bem sério e dispensa qualquer tipo de sacada bem humorada. Depois do Heartbleed e do Shellshock, nos deparamos com mais um problema que não é tão sério quanto os citados aqui, mas que tem o potencial de causar uma bela dor de cabeça nos usuários.

A vulnerabilidade POODLE tornou-se de conhecimento público após o Google lançar um artigo chamado “This POODLE Bites”, onde explica uma falha grave no protocolo SSL.

Vamos começar esta publicação situando quem ainda não sabe do que o POODLE se trata para, em seguida, enumerar as melhores maneiras de prevenir o problema.

 

 

A relação do POODLE com o protocolo SSL.

 

Pra quem está se perguntando por que essa falha se chama POODLE, é a sigla para Padding Oracle On Downgraded Legacy Encryption, e se relaciona diretamente com a desatualização do SSL e quão vulnerável seu navegador fica com isso.

Primeiramente, vamos relembrar o conceito do protocolo SSL. Numa maneira mais simplificada, o SSL garante a proteção das informações que você acessa e compartilha na Internet. Junto do protocolo TLS, ele forma o OpenSSL – afetado pelo Heartbleed, como muitos devem lembrar.

Diferente do Heartbleed, porém, o POODLE não afeta o OpenSSL como um todo, mas sim apenas um de seus protocolos.

Agora fica a dúvida…

 

 

… como o ataque é feito?

 

Imagine que o hacker consiga acessar o hotspot público em que sua conexão se encontra, como o wi fi de um café ou o roteador de uma empresa. Com isso, ele consegue forçar o seu navegador a desatualizar o protocolo SSL para uma versão anterior, como a 3.0.

A partir disso, o protocolo torna-se vulnerável e tudo que faz uso dele acaba, por consequência, ficando vulnerável também. É aí que pensamos “então é só optar pelo protocolo TLS, que é muito mais atual e eficaz, e tudo ficará bem, não é?”

Bem, não exatamente… Por mais que você não utilize o SSL, só o fato de seu navegador ou servidor darem suporte ao protocolo SSL 3.0 já representa uma porta aberta para o POODLE. A boa notícia é que, se você não utiliza hotspots públicos, está livre da ameaça que o POODLE pode representar. Entretanto, se este não é seu caso, é bom pensar numa maneira de se ver livre do problema.

 

 

Amordaçando o POODLE.

 

Para o desenvolvedor web, não existem muitas opções. Como não há uma maneira de solucionar o problema com o SSL, o melhor a fazer é suspender o suporte para esse protocolo. Alguns dos principais navegadores, como o Chrome e o Firefox logo irão eliminar o SSL para basear a criptografia apenas no protocolo TLS, o que já é uma ótima notícia. A Microsoft ainda não se pronunciou a respeito, mas espera-se uma atitude similar da empresa.

Mas e quanto ao consumidor? O que é que você, usuário doméstico, deve fazer para se ver livre do POODLE?

  • Usuários do Google Chrome: nos próximos meses, o próprio navegador deixará de dar suporte a esse protocolo – mas se você quer resolver o problema por conta própria, faça o seguinte: copie o seguinte código –ssl-version-min=tls1 ao final do campo Target, disponível nas Propriedades do navegador. Com ele, basicamente, você está impedindo o Chrome de aceitar o protocolo SSL, para permitir apenas as versões 1.0 ou superiores do TLS.
  • Usuários do Mozilla Firefox: primeiramente, vá até a página de add-ons do Firefox e baixe essa extensão que desativa o SSL e solicita o protocolo TLS, desde sua versão mais básica até a mais atual. Permita que a extensão baixe atualizações automaticamente para se certificar de que sua proteção esteja em dia. Felizmente, o Firefox já determinou a data em que o protocolo SSL deixará de ser usado: 25 de Novembro de 2014, com o lançamento do novíssimo Firefox 34.
  • Usuários do Internet Explorer: como não se sabe quando e se a Microsoft deixará de usar o SSL, resolva o problema por conta própria! Para isso, vá até as Opções da Internet disponível em seu Painel de Controle. Siga até a aba de configurações avançadas e marque as opções que permitem o uso do TLS, e desmarque a que permite o uso do SSL. Fácil, não?

O POODLE é a mais recente falha de segurança na rede e, apesar de ainda não sabermos muito sobre ele, podemos adiantar que não se trata de algo tão destrutivo como o Heartbleed ou o Shellshock. Isso não significa, porém, que devemos subestimá-lo; recomendamos que todos que utilizam hotspots público sigam o passo a passo disponível aqui e se mantenham informados sobre o assunto.

Fique ligado no Dicas de Hospedagem para toda e qualquer novidade sobre o POODLE – e se você tem alguma dúvida sobre essa ou outras falhas que ameaçam sua segurança na rede, não deixe de compartilhá-la conosco através da seção de comentários!



Você também vai gostar de:

Share This