O que é um ataque de downgrade?
Em segurança de software, ataques de downgrade são ataques de rede que forçam os computadores a abandonar um tipo seguro de conexão (ou seja, conexão criptografada) e recorrer a versões mais antigas e vulneráveis de software para explorar vulnerabilidades conhecidas contra eles.
Também conhecidos como ataques de reversão de versão, os ataques de downgrade têm sido especialmente perigosos em TLS clientes que suportam versões anteriores de TLS, Você pode encontrar mais informações sobre as imperfeições dos TLS versões em nosso TLS 1.0 descontinuação artigo.
Conforme discutido na próxima seção, os ataques de downgrade geralmente são executados como um componente de ataques Man-in-the-middle (MITM).
O que é um ataque man-in-the-middle?
Em um artigo do homem-in-da-meio (ou MITM) ataque, a comunicação entre dois dispositivos em uma rede de computadores é comprometida por um terceiro - o "homem do meio". Em um ataque passivo MITM os invasores “batem” na comunicação, capturando informações em trânsito sem alterá-las. Se os invasores tentarem modificar ou adulterar as próprias informações, eles estão cometendo um ataque MITM ativo.
Os ataques MITM são uma das primeiras formas conhecidas de ataques à rede, sendo implementados já na década de 1980. Há muito que são usados por cibercriminosos para roubo, fraude, espionagem ou destruição de dados.
Os ataques MITM exploram o fato de que uma rede de computadores pode ser manipulada de tal forma que todos os dispositivos de rede enviam seu tráfego para o invasor em vez do roteador ou outros nós. Os atacantes do MITM geralmente usam táticas como phishing para redirecionar o tráfego para sites que eles projetaram para parecer legítimos. Uma maneira muito comum de lançar um ataque MITM é criando um nó falso em uma rede de computadores publicamente disponível, como a rede WiFi de um coffeeshop.
Sendo um “homem no meio”, o invasor pode manipular o conteúdo interceptado como achar adequado antes de retransmiti-lo ao destino pretendido. Na maioria dos casos, as vítimas de um ataque MITM nunca saberão que estão sendo atacadas.
Existem 3 vulnerabilidades mais conhecidas pelas quais os atacantes MITM iniciam sua invasão. POODLE, LogJam e FREAK.
- Ataque POODLE. Descoberto em 2014, o ataque The Padding Oracle on Downgraded Legacy Encryption (POODLE) força os navegadores e sites modernos da Internet a reduzir o protocolo de segurança de TLS para SSL3.0. Os hackers só precisam fazer no máximo 256 solicitações SSL.0 para descriptografar um byte de dados. Hackers que implementam POODLE podem roubar informações pessoais, como cookies e senhas, resultando em uma violação dos dados confidenciais de um usuário em um site.
- Ataque LogJam. O ataque LogJam permite que um hacker MITM faça o downgrade da conexão para uma criptografia modesta de 512 bits para exportação. Com essa criptografia vulnerável, todos os dados transmitidos pela conexão são interceptados e manipulados. Os ataques Logjam exploram a troca de chaves Diffie-Hellman, que tem sido freqüentemente usada em transações bancárias online e trocas de e-mail.
- Ataque FREAK. O ataque Factoring RSA Export Keys (FREAK) explora a vulnerabilidade no SSL /TLS protocolos introduzidos para conformidade com os regulamentos de exportação de criptografia do governo dos EUA. A política então era limitar qualquer software exportado a um máximo de 512 bits de chave RSA para que eles pudessem ser facilmente descriptografados pela National Security Agency (NSA). Embora o ataque FREAK só tenha sido exposto em 2015, as vulnerabilidades do protocolo existiam já na década de 1990.
Quais são as preocupações de segurança com TLS Modo 1.3-RTT do 0?
TLS 1.3 oferece um recurso chamado 0-RTT (tempo de ida e volta zero) Modo de reinício, em um esforço para melhorar o desempenho.
Quando um navegador conclui com êxito um TLS handshake com um servidor pela primeira vez, o cliente e o servidor podem armazenar uma chave de criptografia pré-compartilhada localmente. Isso é conhecido como o segredo mestre retomada.
Se o navegador estabelecer uma conexão com o servidor novamente mais tarde, ele poderá usar esta chave de retomada para enviar dados criptografados do aplicativo em sua primeira mensagem para o servidor, sem precisar executar o handshake pela segunda vez.
No entanto, a retomada de 0-RTT tem uma ressalva; os dados de retomada não requerem interação do servidor, o que significa que um invasor pode capturar dados criptografados de 0-RTT e reenviá-los ao servidor, ou repetir eles. No caso de o servidor estar mal configurado, ele pode potencialmente aceitar solicitações repetidas como válidas; essencialmente, permitindo que os invasores executem ações não sancionadas.
A solução para esse problema é garantir que todas as solicitações de 0-RTT sejam atendidas. idempotente.
Solicitações idempotentes podem ser usadas com segurança como solicitações de 0-RTT, pois a reprodução delas não terá efeito. Uma regra prática rápida seria usar apenas solicitações GET com retomada de 0-RTT.
O que é uma solicitação idempotente?
Na ciência da computação, uma operação é idempotente se puder ser executado várias vezes sem ter um resultado diferente da primeira vez em que foi executado.
Por exemplo, uma solicitação POST HTTPS que atualiza um contador no banco de dados não é idempotente porque altera o estado do aplicativo da web, enquanto uma solicitação GET para a página da web principal é.
Como SSL.com protege seu site contra ataques de downgrade?
Para proteger seu site de TLS ataques de downgrade, a abordagem prática é atualizá-lo para a versão mais recente do TLS. Isso permitirá que você recuse o suporte para qualquer compatibilidade com versões anteriores e desative o suporte do seu site para versões mais antigas do TLS.
SSL.com oferece 2048+ bits SHA2 TLS certificados digitais. Com esse nível de criptografia, você pode proteger prontamente seus ativos online de ataques POODLE, Logjam e FREAK.
SSL.com's TLS certificados protege seu site de ataques MITM criptografando todos os dados com uma chave secreta conhecida apenas pelo cliente e servidor originais. Os invasores MITM não são capazes de ler ou adulterar os dados criptografados sem o conhecimento dessa chave secreta.