Todos os posts tagados ssl

Let’s Encrypt – Certificados Gratuitos para toda a Internet

Lets Encrypt logo

Nos dias de hoje o utilizador necessita cada vez mais de métodos para cifrar o seus dados nomeadamente se navega na Internet e pretende que os dados cheguem ao destinatário de forma segura. Os gigantes da Internet como Google, Apple e Yahoo! estão a adotar HTTPS em vez do tradicional HTTP, mas segundo a Electronic Frontier Foundation (EFF), a segurança informática não pode estar limitada aos ‘ricos’.

A EFF, que é uma fundação sem fins lucrativos uniu-se a grandes empresas que incluem a Mozila, Cisco e Akamai para oferecer certificados HTTPS/SSL gratuitos para todos aqueles que pretendem correr nos seus servidores. O projecto será lançado no inicio de 2015 e pretende encorajar todos a cifrar as conexões que vão para as suas páginas web.

Até à relativamente pouco tempo, mudar de HTTP para HTTPS era relativamente caro para um simples utilizador que queria manter algum confidencialidade, por vezes também era difícil instalar e manter.
Mas depois do lançamento de certificados gratuitos pela autoridade de certificados: Let’s Encrypt, vai ser ainda mais fácil para o utilizador comum colocarem HTTPS nas suas página web.

Let´s Encrypt espera providenciar não só uma solução gratuita mas também uma alternativa fácil para obter um certificado digital (TLS).

Para quem quiser dar uma vista de olhos no código, pode consulta-lo no GitHub, relembrando que a versão final ainda não está disponível e que o seu uso irá causar alguns avisos do lado do cliente.

Página do projecto: https://letsencrypt.org/

Facebook agora também disponível no Tor

facebook

O rede social Facebook anunciou hoje que já tem disponível uma versão para os utilizadores do Tor:

https://facebookcorewwwi.onion/

Desta forma, os utilizadores do Facebook que queiram utilizar o Tor para manter a sua navegação anónima já poderão fazê-lo neste momento.

O endereço onion do Facebook, acedido apenas via Tor, conecta os utilizadores à infra-estrutra www do Facebook de modo a proporcionar a comunicação direta do utilizador com o datacenter do Facebook. Isto permite sessões de navegação privadas e seguras. Posteriormente, um certificado SSL fornecido pelo Facebook aos utilizadores confirma que o destino é o correto.

Mais uma vez, juntamente com a disponibilização do Osquery, o Facebook confirma uma preocupação com a segurança dos seus utilizadores.

Heartbleed OpenSSL – a falha do momento

Heartbleed OpenSSL - a falha do momento

Heartbleed é uma vulnerabilidade no popular software OpenSSL. A falha permite roubar informação protegida pela encriptação SSL/TLS. Este protocolo fornece a segurança e a privacidade de comunicação através da Internet para aplicações como web, email, mensagens instantâneas e algumas VPNs.

Mas o que está em causa?
O bug Heartbleed permite a qualquer utilizador na Internet ler a memória nos sistemas protegidos com as versões vulneráveis do OpenSSL. Desta forma é possível comprometer as chaves que identificam serviços e encriptam o trafego, nomes e palavras passes dos utilizadores, etc. Utilizadores maliciosos podem lançar ataques na comunicações, roubar informação directamente dos serviços e utilizadores.

Como resolver?
Basta actualizar a versão do OpenSSL e seguir as instruções dos vendorshttps://www.openssl.org

Para obter mais informação consultar o site – http://heartbleed.com/ e também recomendo a leitura em português da SysValue – http://www.sysvalue.com/vulnerabilidade-critica-em-implementacoes-ssltls-vulnerabilidade-heartbleed/. Se quiserem podem verificar online se estão vulneráveis aqui – http://filippo.io/Heartbleed/

Roubo de certificado pode levar a grande ataque contra o Gmail

No IDG Now!:

Um grupo de crackers conseguiu obter um certificado digital válido para qualquer site Google a partir de um provedor de certificados da Holanda, de acordo com Roel Schouwenberg, pesquisador sênior de malware da Kasperky Lab.

Os criminosos podem usar o certificado para conduzir ataques “man-in-the-middle” (intermediário) contra usuários do Gmail. “Esse é um ‘coringa’ válido para qualquer domínio Google”, afirmou Schouwenberg.

(…)

Curioso como vi a notícia quando estava a ver o vídeo do MoxieSSL And The Future Of Authenticity – na conferência Blackhat.

Lista de scanners de SSL para testes de intrusão

Foi publicado no PenTestIT uma lista de ferramentas que pode ser útil aos pentesters.
Tem software para todos os gostos, quero dizer, sistemas operativos…