hoje é tive uma pequena discussão sobre a falsa segurança que conexões SSL trazem aos desenvolvedores, administradores e ao usuário final. Ter um cadeado no browser que demonstra que aquela conexão é segura não quer dizer mais nada graças a um série de diferentes ataques e vulnerabilidades dedicados à conexão SSL.

Já foi provado em uma série de palestras e testado com uma série de ferramentas que é possível criar formas de se capturar os dados trafegados via SSL, exemplo disso é o vídeo demonstrado abaixo:

Para os mais curiosos quanto a existência de ferramentas que possam capturar o tráfego SSL em uma LAN, deem uma olhada no sslniff, ferramenta essa que cria certificados digitais falsos utilizando a captura de tráfego SSL via o ataque MITM (Man in the Middle)

Compartilhar:

Este post tem 4 comentários

  1. Gustavo, o nome da ferramenta não seria sslstrip?

    []

  2. Bom, não vejo bem por este lado. A insegurança não está na conexão SSL e sim nas pessoas que adicionam exceções em seus navegadores para qualquer erro de certificado que aparecem, sem ao menos ler o motivo do erro (e a maioria nem sabe o que isto significa). O bom uso (e o correto) do HTTPS (SSL) NECESSITA que haja um entendimento por parte do usuário, onde este deveria saber o que é um certificado digital, Autoridade Certificadora, Cadeias de certificados, ICP, etc…
    Neste exemplo do vídeo acima, com certeza já havia uma exceção no browser, ou os alertas estavam desabilitados, algo do tipo, pois não foi emitido aviso de certificado não confiável.
    Enfim, as pessoas que acreditam que estão ‘seguras’ apenas por visualizar um cadeado em seu navegador sim estão inseguras, não o SSL em si.

  3. Considerando que a maioria dos usuários estejam sujeitos a esse tipo de ataque, por qualquer que seja o motivo, insegurança da tecnologia ou mal utilização… Existe alguma alternativa para o SSL?

Deixe uma resposta

Fechar Menu