HTTPS pode ser hackeado em trinta segundos, diz EUA

O chamado ataque Breach (sigla em inglês para Reconhecimento de Browser e Extração via Compressão de Hipertexto Adaptável) foi detalhado na sexta-feira (02/08) pelo Departamento de Segurança Interna dos Estados Unidos. No aviso, o órgão alerta que “um criminoso sofisticado é capaz de conseguir informações a partir de um texto criptografado em HTTPS”. Todas as versões dos protocolos TLS e SSL são vulneráveis a ataques.

Mais detalhes sobre essa vulnerabilidade foram divulgados na semana passada (01/08), durante o Black Hat em Las Vegas, pelos engenheiros da Salesforce Angelo Prado, Neal Harris e Yoel Gluck.  O evento de segurança que acontece neste ano pela primeira vez em São Paulo – em conjunto com o IT Forum Expo.

O ataque estilo “man in the middle” ao protocolo HTTPS envolve o monitoramento “do tamanho do texto criptografado, enquanto requisições estratégicas ao site alvo são acionadas”. “Para recuperar um segredo particular em uma resposta do protocolo, o invasor tem que enviar requisições e esperar. A correta será aquela que resultar em um HTTPS menor”, explica Angelo.

Com a repetição, é possível encontrar o segredo certo. “Na prática, somos capazes de recuperar pacotes CSRF com menos de 4 mil requisições”, diz Angelo. “Navegadores como Google Chrome e Internet Explorer são capazes e emitir esse número de requisições em menos de 30 segundos, incluindo call-backs para o centro de controle do invasor.

Angelo ainda diz que a pesquisa do grupo se baseia na descoberta feita pelos pesquisadores Juliano Rizzo e Thai Duong. O novo ataque pode ser usado para conseguir IDs de usuários, endereços de e-mail, alguns tipos de pacotes de identificação, links para a troca de senhas e muito mais.

Pesquisadores, junto com Angelo, prometem divulgar uma ferramenta que possibilita empresas testar e descobrir se estão suscetíveis a ataques estilo Breach.

Esse ataque demonstra que as chamadas páginas HTML seguras não são tão seguras assim. “Quando você desenvolve protocolos de segurança, você pode implementar a criptografia de maneira adequada, mas nem sempre providenciar um sigilo perfeito”, pontua Angelo. “Quando você mistura diversos protocolos na mesma pilha, algumas camadas podem ser muito permissivas, fazendo com que você comprometa toda a confiança”.

Por outro lado, as vulnerabilidades apresentadas pelo trio precisam ser direcionadas site por site. Para cada site comprometido, os visitantes ficam expostos ao risco de terem seus segredos roubados.

Angelo ainda diz que há inúmeros sites em risco, e desenvolver uma forma de corrigir o HTTPS não é fácil. Ainda assim, as empresas podem diminuir a ameaça desabilitando as compressões como GZIP e transmitir pacotes de segredos aleatoriamente.

“O HTTPS continua sendo um bom método de transmitir dados online, mas certamente não é perfeito”, diz o Analista de Segurança da AppRive, John French. “Muitos pesquisadores e hackers tentam encontrar falhas no protocolo, exatamente porque muitas pessoas confiam nele. Como resultado, enquanto o ataque Breach é a mais nova ferramenta pra interceptar o tráfego, ela não é a única que existe por aí”.

O ataque Breach explora ressalvas no vetor de transporte. “Pesquisadores dizem que os invasores têm que ter acesso a um monitor passivo do tráfego de internet”, atesta John. “Na maioria dos casos, o monitoramento tem que ser feito dentro da mesma rede, o que dificulta o trabalho dos hackers”.