O Google descobriu uma vulnerabilidade em uma versão mais antiga do SSL, protocolo cuja função é manter protegido o que fazemos na web. Isso não está causando níveis Heartbleed de pânico, mas é uma notícia desconcertante.
O blog de segurança da Google explica detalhes sobre o bug, que eles estão chamando de POODLE:
Hoje estamos publicando detalhes sobre uma vulnerabilidade no design do SSL versão 3.0. Ela permite que o plaintext [texto claro/aberto] de conexões seguras seja calculado por um hacker de rede.
Isso significa que hackers podem quebrar a criptografia de cookies HTTP “seguros”, revelando a atividade do usuário naquele determinado site.
Para isso acontecer, no entanto, é preciso que ele obrigue seu navegador a se conectar via SSL 3.0, que usa uma criptografia criada em 1987. Apesar de ser repleta de brechas, ela ainda é amplamente usada: a Microsoft disse no final de 2013 que 40% das conexões web ainda usavam essa criptografia.
No geral, os sites utilizam a tecnologia Transport Layer Security (TLS) para proteger seus dados, que não é afetada por essa falha. Mas vários sites continuam a ser compatíveis com SSL 3.0, para funcionarem em sistemas mais antigos.
E agora? O Google recomenda desativar esse fallback para o SSL 3.0 nos servidores e diz que, nos próximos meses, vai remover essa tecnologia do Chrome. A Mozilla, por sua vez, avisou que o SSL 3.0 será desativado por padrão no Firefox 34, a ser lançado no final de novembro.
O Chrome começa hoje, em fase de testes, a desativar automaticamente o suporte a SSL 3.0. Para fazer isso manualmente no Chrome, Firefox e Internet Explorer, siga as instruções abaixo (via ImperialViolet):
- no Chrome para Windows, clique com o botão direito no atalho do navegador, clique em Propriedades, vá até a aba Atalho e, no fim do campo Destino, insira um espaço e depois --ssl-version-min=tls1 (para fazer o mesmo no OS X e Linux, siga estas instruções);
- no Firefox, abra about:config, procure por “security.tls.version.min”, e mude esse valor de 0 para 1 – isso desativa o SSL 3.0 (a versão “zero” do TLS);
- no IE, vá ao menu Ferramentas, clique em Opções da Internet e vá para a guia Avançadas. Desça até o grupo Segurança, e desmarque a caixa de seleção “SSL 3.0”.
Ao fazer isso, talvez você não consiga acessar alguns sites que dependem de criptografia mais antiga. A solução definitiva vai depender de inúmeros sites na web, o que pode ser complicado, como vimos no Heartbleed.
Este será mais um canto do cisne para o Internet Explorer 6: o navegador deve parar de funcionar com muitos sites, por não ter suporte a TLS. [Google Online Security Blog via ZDNet e The Next Web]
Imagem por Jeff Golden/Flickr