Hackers quebram criptografia SSL usada em milhões de sites

[Motta 645]

Hackers quebram criptografia SSL usada em milhões de sites

 

Dois pesquisadores conseguiram arrombar o SSL, uma tecnologia de criptografia, utilizada por sites como Gmail, Facebook e de compras online, que esconde o que navega entre o internauta e o site. Ele é o ícone de cadeado no navegador.

 

Os autores da façanha foram Thai Duong e Juliano Rizzo, que conseguiram acabar com o SSL do PayPal usando apenas um pouco de código, subvertendo todo o processo de criptografia e deixando seus dados, em grande parte privados, abertos a quem quiser ver. As implicações disso são enormes.

 

O problema está no que se chama de TLS, a mais nova geração do SSL. O TLS 1.0 é vulnerável. O TLS 1.1 e o 1.2 não são suportados por praticamente nenhum navegador. E os sites não querem sair do 1.0, porque não desejam perder todos os que visitam seu site, o que complica as coisas.

 

Se o exploit for divulgado, aqueles que desenvolvem browsers e os que administram websites serão forçados a usar uma versão mais segura do TLS.

 

Os pesquisadores pretendem demonstrar o código de prova de conceito, chamado de BEAST, na Eukoparty, evento de segurança que acontece esta semana em Buenos Aires.

 

Com informações de Gizmodo

 

Fonte : Imasters

[Bruno Augusto 417]

Eita, agora resta temer até as nossas sombras quando online.

[retrolink 0]

Alguém acredita que isso nunca antes havia sido quebrado??? porém desta vez foi feito por pesquisadores de segurança, mais quem garante que um hacker já não fez isso bem antes e ficou na moita!?!? nem todos gostam de divulgar e se gabar de seus feitos... eles ficam na surdina so trapaceando sem que ninguém nem imagine.

[Bruno Augusto 417]

Peraí, se gabar de ter invadido um servidorzinho chulé de hospedagem gratuita é uma coisa.

 

Agora se gabar por ter violado um protocolo de segurança que praticamente o mundo inteiro usa é outra completamente diferente.

 

Duvido que se hacker tivesse feito isso realmente teria ficado quieto.

 

Ainda mais porque hacker que é hacker, do tipo old school, não vai dessas criancices de invadir servidor apenas por invadir.

 

Salvo, é claro, se rolar dinheio na parada.

[Mário Monteiro 179]

é preocupante mesmo

[hinom 5]

retrolink está certo.

 

ssl já estava "quebrado" há algum tempo, mas agora alguns amadores que gostam de se exibir expuseram a falha apenas por egocentrismo..

 

por um lado é até bom porque acaba de vez com esse mito que muito "especialista" usa para vender serviços "seguros" que inclusive nem fazem idéia de como funciona... especialista...

[retrolink 0]

Hacker que é hacker não tem egocentrismo, viaja quem pensa que hacker precisam provar algo a alguém kkkkk

 

Eu por exemplo a alguns anos atrás conseguia invadir qualquer servidor windows apenas utilizando programação ASP com um code próprio... conseguia ver qualquer site que estivesse no mesmo site do meu server... se gostasse do site eu simplesmente jogava um arquivo que zipava todo o site, fiz isso por uns 2 anos... fiquei quieto... pois sabia se espalhasse... iriam acabar com a minha brincadeira, outro método que já utilizei é burlar páginas de upload de imagem que fazia a verificação apenas por javascript... trocava algumas linhas e no lugar da imagem jogava meu code... fiz isso muitas vezes e novamente fiquei na minha... só depois de um tempo neguim começou a perceber e notar que isso era altamente vulnerável, mais até hoje ainda existem vulnerabilidades parecidas.

 

Bruno a diferença... se tiver a oportunidade pesquise mais sobre hackers... os verdadeiros hackers não precisam provar nada a ninguém.... eles querem apenas provar para si mesmos que são capazes de fazer determinada invasão, os que gostam de se gabar eu considero lammers que na maioria das vezes utilizam métodos já utilizados por outros para aparecer e ganhar mídia perante a comunidade.

 

Tem aqueles hackers que invadem empresas... e vendem soluções... mostram falhas... porém somente para os invadidos... não espalham, buscam apenas mostrar as vulnerabilidades e mostrar erros e apontar soluções para quem sabe ganhar um trocado, esses sim tb podem ser considerados hackers.

 

Hoje em dia o termo hacker esta desvinculado da realidade... hoje qualquer um que instala keyloger em lanhouse e consegue uma senha do orkut se considera hacker... a própria mídia distorce isso.

 

Novamente digo... os pesquisadores ai estão apenas se gabando de algo que com todo certeza já aconteceu anteriormente.

[Bruno Augusto 417]

Sei disso, conheço um pouco da trajetória do Mitnick, por exemplo.

 

Foi justamente com esses lammer sem eira nem beita em mente, que apenas sujam a reputação, que citei os hackers old school.

[Fvox 0]

Bruno a diferença... se tiver a oportunidade pesquise mais sobre hackers... os verdadeiros hackers não precisam provar nada a ninguém.... eles querem apenas provar para si mesmos que são capazes de fazer determinada invasão, os que gostam de se gabar eu considero lammers que na maioria das vezes utilizam métodos já utilizados por outros para aparecer e ganhar mídia perante a comunidade.

 

Eu discordo. =p

A maior vontade de alguém estudar hacking é alimentar o ego. Saber mais que os outros, ganhar respeito no underground, ter seu nick estampado em grandes projetos.

Por que é que você acha que os caras pegam vulnerabilidade de alto risco em browsers e soltam o exploit 0day? E quando não soltam em sites públicos, sempre soltam como priv8 entre crews conhecidas apenas para ganhar respeito entre eles mesmos. E quando ainda não soltam pra ninguém e apenas tentam ganhar algo com isso, sempre vem outro e saca que tá rolando um bug, e assim ganha fama em cima do outro. =p

 

Se tivessem realmente quebrado o algoritmo do SSL, você pode ter a absoluta certeza que já teria caído por aí em fóruns privates ou ircs a fora.

 

[]'s

[Andrey Knupp Vital 136]

ganhar respeito no underground, ter seu nick estampado em grandes

Respeito você ganha quando respeita alguém, além do mais, não vejo a menor graça em destruir o que foi construído, ainda mais que não é propriedade sua .. também não vejo graça em ter o nome estampado em grandes projetos, até mesmo porque você não participou dele para merecer isso, ou mesmo se tivesse participado, seu nome não estaria lá, a unica coisa que você precisa saber é que 'VOCÊ' participou, e não que tem o 'nome estampado' no projeto.

[retrolink 0]

Bruno a diferença... se tiver a oportunidade pesquise mais sobre hackers... os verdadeiros hackers não precisam provar nada a ninguém.... eles querem apenas provar para si mesmos que são capazes de fazer determinada invasão, os que gostam de se gabar eu considero lammers que na maioria das vezes utilizam métodos já utilizados por outros para aparecer e ganhar mídia perante a comunidade.

 

Eu discordo. =p

A maior vontade de alguém estudar hacking é alimentar o ego. Saber mais que os outros, ganhar respeito no underground, ter seu nick estampado em grandes projetos.

Por que é que você acha que os caras pegam vulnerabilidade de alto risco em browsers e soltam o exploit 0day? E quando não soltam em sites públicos, sempre soltam como priv8 entre crews conhecidas apenas para ganhar respeito entre eles mesmos. E quando ainda não soltam pra ninguém e apenas tentam ganhar algo com isso, sempre vem outro e saca que tá rolando um bug, e assim ganha fama em cima do outro. =p

 

Se tivessem realmente quebrado o algoritmo do SSL, você pode ter a absoluta certeza que já teria caído por aí em fóruns privates ou ircs a fora.

 

[]'s

 

Discordo... quer prova? olhe os mais avançados ataques que já aconteceram na rede, e veja se em algum deles alguém pois a cara para aparecer! não... eu digo não! até porque isso é crime, e aqueles que gostam de aparecer se dão mau... logicamente que nessa área, sempre houve e sempre vai aparecer aqueles que gostam de se mostrar, porém na maioria das vezes, quando lançam ataques sofisticados e próprios... ou seja... com criação própria e métodos nunca antes utilizados... eles se mantém no anonimato, no máximo é exposto o feito ao grupo... hoje em dia é difícil um hacker não agir em grupo... mais isso não é questão de se aparecer... mais sim de necessidade, já que os sistemas estão cada vez mais avançados e com várias fazes para a penetração, com isso se torna necessário uma força tarefa para conseguir quebrar a proteção de grandes redes.

[Motta 645]

Neste caso específico me parece pesquisadores sérios, vaidade todo ser humano tem.

 

Cada ataque a empresa ou governos é uma caso à parte, mas acho que o cara no quarto atacando sítios é ficção, a coisa é muito mais organizada hoje em dia.

[retrolink 0]

Sim Motta, no caso não dissemos que eles não são confiáveis, mais dizer que são os primeiros é matéria para site de notícias, televisão, jornais e revistas, pois duvido muito que outros anteriormente não conseguiram quebrar isso e ficar na moita, logicamente que existem aqueles certinhos que não utilizam-se para o mau e divulgam em busca de solução, talvez seja o caso destes dois ai, porém pensar que eles foram os primeiros é muito inocente de nossa parte.