Mais um dia, mais uma falha de segurança encontrada. Apenas nos últimos dois dias, já publicamos sobre três importantes falhas de segurança em conhecidos programas de computador. O Dropbox foi vítima de um erro em que documentos dos usuários foram apagados e, como se não bastasse, hackers alegam ter conseguido mais de 7 milhões de senhas de usuários deste serviço de armazenamento em nuvem. Ainda ontem a Reuters veiculou que um grupo hacker originário da Rússia conseguiu acesso remoto a computadores da OTAN, União Européia e diversas empresas ucranianas através de uma falha no Windows. Pois bem, vamos à falha de segurança de hoje.
A Google publicou em seu blog de segurança que descobriu uma vulnerabilidade na criptografia do protocolo SSL 3.0, uma versão bem antiga, diga-se de passagem. O SSL é um protocolo que tem por função proteger tudo o que fazemos na internet. A falha, batizada de POODLE (Padding Oracle On Downgraded Legacy Encryption), não é tão grave e nem tão ampla quanto o Heartbleed, que dominou as notícias dos sites de tecnologia em abril desse ano, mas é grave o suficiente para causar preocupação em sysadmins e exigir maiores cuidados com a segurança dos servidores.
Conforme explicado por Bodo Möller, o especialista de segurança da Gigante das Buscas que descobriu a falha, a POODLE faz uso de características de compatibilidade de algumas implementações do TLS (Transport Layer Security), um protocolo mais atual e seguro e que tem compatibilidade com o SSL 3.0, uma versão bem antiga mas que ainda é bastante usada em diversos servidores pelo mundo. Segundo a Microsoft, no final de 2013, 40% das conexões web ainda usavam a criptografia SSL 3.0. Por ser uma versão muito antiga, ela está bem suscetível à falhas. Desta forma, os servidores que estão protegidos pelo TLS são imunes a essa falha, mas aqueles que ainda são compatíveis com o Secure Socket Layer 3.0 estão sujeitos ao erro. Mas qual a merda que ele permite fazer?
Bom, esta falha permite que um invasor use o SSL 3.0 para se conectar a uma máquina e, depois disso, quebrar a criptografia usada na comunicação entre o servidor e o cliente, seja ele uma máquina de usuário doméstico ou um aplicativo para celular que esteja enviando dados fazendo uso deste protocolo. Com isso, o hacker pode interceptar as informações trocadas, quebrar a criptografia e até alterar cookies e outros dados pertencentes à conexão, tornando expostos dados confidencias do usuário ou do aplicativo. Para tanto, porém, o hacker precisa obrigar o serviço a se conectar com o SSL 3.0. A Google já publicou que para combater este erro é preciso desabilitar a compatibilidade com o SSL 3.0 nos servidores.
A companhia também informou que a próxima versão do Chrome não trará mais a compatibilidade com o SSL 3.0 e a Mozilla seguiu o mesmo caminho. O Firefox 34, que será lançado no final de novembro, não terá mais a compatibilidade com o SSL 3.0 ativada por padrão. Caso você ainda precise usá-la, terá de ativá-la manualmente e sabendo dos riscos que seus servidores correm.