Ameaças a SSL/TLS/HTTPS: o que são e como confiar?

Adriano Martins Antonio

Adriano Martins Antonio

em 4 de maio de 2020
Ameaças a SSL/TLS/HTTPS

Fique ligado

​Entre para nossa lista e receba conteúdos exclusivos e com prioridade

Ameaças a SSL/TLS/HTTPS: o que são, como funcionam e como confiar?

O que são as ameaças a SSL/TLS/HTTPS? Bem, com o avanço da tecnologia, cada vez mais pessoas realizam operações pela internet, como por exemplo, compras online, transações bancárias, pagamentos de contas, etc. Dessa forma, todas essas tarefas precisam de uma garantia de segurança, a fim de que possamos realizá-las com confiança.

E por causa dessa necessidade de segurança, que se criou protocolos com o intuito de minimizar riscos para as informações dos usuários. Porém, ainda que estes protocolos sejam robustos, permanece a possibilidade de ataques e ameaças. Veremos mais sobre isso adiante.

Aprenda, gratuitamente, sobre Programação Segura com o Curso Online Secure Programming Overview.

O que é

Mas afinal, o que são os protocolos SSL/TLS/HTTPS? Vamos às definições!

  • SSL (Secure Socket Layer): é um certificado que possibilita que dois computadores se comuniquem de forma segura, através da inserção da privacidade, integridade e autenticação. Vale lembrar, usa-se ele para proteger protocolos TCP/IP, como por exemplo: HTTPS, SSH, FTPS, etc;
  • TLS (Transport Layer Security): foi desenvolvido depois do SSL e seu uso é mais frequente nos programas de e-mails, ele usa mecanismos de criptografia mais fortes.

Para saber se você está navegando em um site seguro, basta observar na barra de endereços do navegador, se o link da página possui as letras https (https://www.xxxxx.com.br), ou se na barra de endereços contém um símbolo de um cadeado.

Faça agora o Curso Online Gratuito ISO 27001 Foundation Overview.

Ameaças a SSL/TLS/HTTPS

Computador de papel e uma mão acessando site de compras HTTPS
O HTTPS é uma extensão segura do HTTP

Se por um lado a tecnologia avança para fornecer segurança, do outro, temos também o avanço de novas técnicas para a invasão de dados e acesso aplicações. Invasores já utilizam métodos de codificação que burlam a criptografia HTTPS. A seguir, veremos mais sobre os tipos de ameaças que podem afetar estes protocolos de segurança.

Como funciona

Invasores tentam se infiltrar em sistemas através de códigos maliciosos. Além disso, kits de ataque, mais conhecidos como Kits de exploit, acabam sendo usados para atacar vulnerabilidades detectadas nos sistemas das empresas. Dentre os kits de ataque, temos o Nuclear, o Rig e o Angler.

Em suma, a estratégia acontece ao “passar” escondido pelo mecanismo de segurança da informação, realizando alterações no padrão URL, adicionando imagens dentro de outro arquivo e modificando as páginas de destino.

Exemplos de ataques aos protocolos SSL/TLS

Há várias formas de ataques aos protocolos SSL/TLS. Dentre elas, podemos citar o SSL Renegotiation Attack e o Compression Ratio Info-Leak Mass Exploitation.

  • SSL Renegotiation Attack: trata-se de um tipo de vulnerabilidade que ocorre justamente no processo de renegociação dos protocolos SSL e TLS. Ou seja, ele permite que o invasor injete textos em todas as solicitações que o usuário realizar em uma conexão segura;
  • Compression Ratio Info-Leak Mass Exploitation: em sua forma abreviada, ele é conhecido como “crime”. Este tipo de ataque possibilita que o invasor consiga acesso aos conteúdos guardados em cookies da Internet quando é utilizado TLS. Assim, é possível que o invasor ”sequestre” uma sessão web, exponha os dados e comprometa a integridade do acesso do usuário.

Dessa forma, veja a dica para evitar esses ataques a seguir: sempre observe as melhores práticas para configurar o servidor HTTPS, mantendo o navegador WEB sempre atualizado e protegido contra vulnerabilidades.

Quer seguir carreira na área de Segurança da Informação? Leia também este artigo: Carreiras e Certificações em Gerenciamento de Serviços de TI.

Enfim, conte para nós! Você gostou do nosso texto?

Antes de tudo, comente o seu ponto de vista ou opinião extra para que possamos refletir juntos.

E se acaso ficou alguma questão, deixe ela aqui. Logo após, nós, da PMG Academy, vamos te responder o mais breve.

Por fim, se você quiser conhecer mais ameaças cibernéticas, inscreva-se na Jornada Segurança Cibernética! Nosso curso online, ao vivo e 100% gratuito sobre segurança cibernética, que ocorre entre os dias 30/08 e 03/09. O conteúdo é preparatório para o exame EXIN Cyber & IT Security Foundation (CISEF). Mais do que apenas o que cairá na prova, você poderá aprender os aspectos essenciais da segurança cibernética. Para se inscrever, clique aqui!

Compartilhar no facebook
Facebook
Compartilhar no google
Google+
Compartilhar no twitter
Twitter
Compartilhar no linkedin
LinkedIn

Artigos Relacionados

Uma resposta

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *