Agora: Atenção! Logjam nova vulnerabilidade SSL

Logjam apareceu depois de Heartbleed. Quem lida com a tecnologia se lembrará da vulnerabilidade Heartbleed, que veio nos lembrar que a segurança não é um dado na Internet. Enquanto a TI ainda está tentando esquecer a vulnerabilidade do SSL que os forçou a executar e não alcançar, os pesquisadores descobriram outra grande desvantagem do SSL chamada “Logjam” ou no “impasse” grego e afeta vários protocolos fundamentais da Web. .risco de segurança Logjam

O bug afeta um algoritmo chamado “Troca de chaves Diffie-Hellman”, que permite que protocolos como HTTPS, SSH, IPsec, SMTPS troquem uma chave comum para criar uma conexão segura.

O analista de criptografia da Universidade Johns Hopkins, Matthew Green, descobriu várias fraquezas no algoritmo e publicou um relatório técnico detalhando-as. Você pode ler o artigo acadêmico aqui (PDF).

O ataque permite man-in-the-middle, diminuindo a segurança das conexões para um nível mais baixo de criptografia (512 bits), que pode ser lido com relativa facilidade.

Isso significa que equipes com alto poder de computação à sua disposição, como a NSA, podem quebrar a criptografia ainda mais poderosa (768 bits ou 1024 bits) usando o algoritmo.

O estudo estima que até 8,4% dos 1.000.000 sites principais são vulneráveis, juntamente com um grande número de serviços de e-mail e outros sistemas.

Você pode verificar se o seu navegador está vulnerável aqui. No momento da redação deste artigo, todos os principais navegadores ainda estão abertos. Logjam

O Google já começou a desenvolver um patch que aumentará o requisito SSL no Chrome para 1024 bits.

Aqueles de vocês que são administradores de servidores devem seguir imediatamente as instruções (link no final da postagem) emitidas para proteger seu ambiente contra o bug do Logjam.

Para todos os outros, tenha cuidado para não navegar em sites desconhecidos ou sugeridos por estranhos.

Todos os navegadores conhecidos são afetados por esta vulnerabilidade.

Weakdh.org/sysadmin.html