Vulnerabilidade do SSL 3.0. Uma nova vulnerabilidade divulgada recentemente por pesquisadores de segurança do Google, volta a chamar a atenção da comunidade usuária de Internet.
A falha apelidada de Poodle (Padding Oracle on Downgraded Legacy Encryption) afeta a versão do SSL 3.0, componente muito utilizado para proteger (criptografar) informações sensíveis (como senhas e dados de cartões de crédito) que trafegam pelas redes, principalmente a Internet.
Para explorar a vulnerabilidade, a pessoa mal intencionada (cracker), necessita capturar o tráfego de informações protegidas pelo SSL 3.0 colocando-se entre o usuário e o sistema/site (site protegido por SSL) utilizado pela vítima.
Pode parecer difícil a exploração da falha, mas cabe salientar que entre o usuário e o sistema/site, a informação passa por diversos componentes dos quais a pessoa mal intencionada pode interceptar os dados, por exemplo em redes sem fio.

Teste do Navegador

Para efetuar um teste e constatar se o seu navegador está utilizando o SSL 3.0, utilize o site abaixo:
https://www.poodletest.com/
O resultado será uma imagem de um poodle com a palavra “Vulnerable”, se o seu navegador estiver configurado com o SSL 3.0 e portanto vulnerável, ou se aparecer a figura de um Springfield Terrier com a palavra “Not Vulnerable”, significa que o navegador não está configurado com o SSL 3.0.
Para funcionar adequadamente o navegador requer que as opções de Javascript sejam habilitadas durante o teste.

Recomendações para Administradores/Desenvolvedores de Sistema

A recomendação até o momento é que Administradores/Desenvolvedores de sistema, desabilitem a opção de SSL 3.0 em seus servidores.

Recomendações para Usuários

Usuários de sistemas/sites devem desabilitar a opção SSL 3.0 em seus navegadores. Os usuários podem pesquisar através de mecanismos de busca como efetuar esta configuração, exemplo “Como desabilitar o SSL 3.0 no Internet Explorer”.
Cabe salientar que navegadores mais antigos não possuem opção para desabilitar o SSL 3.0, obrigando os usuários a atualizar para versões mais recentes.

Orientações de Correção

? Firefox: https://addons.mozilla.org/en-US/firefox/addon/ssl-version-control/
? Chrome Windows: https://zmap.io/sslv3/browsers.html#chrome-windows
? Chrome Ubuntu: https://zmap.io/sslv3/browsers.html#chrome-ubuntu
? Chrome MAC: https://zmap.io/sslv3/browsers.html#chrome-osx
? Internet Explorer: https://zmap.io/sslv3/browsers.html#internet-explorer

————————————————————————————————————–
Gustavo Lourenço é Coordenador de Segurança da Informação no Buscapé Company. Pós-graduado em Segurança da Informação pelo IBTA, possui mais de 15 anos de experiência em Tecnologia e Segurança da Informação. Possui as Certificações de Segurança: CISM/CISA/CRISC, CEH, LA ISO 27001.

Avatar
Author

"A Segurança da Informação deve estar na essência da cultura de qualquer empresa." Gustavo Lourenço é formado em Processamento de Dados com pós-graduação em Segurança da Informação. Possui 18 anos atuando em Tecnologia da Informação, dos quais 9 são dedicados à Segurança da Informação.

1 Comment

  1. Avatar
    Bug Redes Estruturadas Reply

    Bom dia,muito boa a matéria.Um abraço.Luiz.

Write A Comment