Um grupo chamado The Hacker's Choice (THC) liberou uma ferramenta que faz com que um único computador consiga desabilitar um servidor criptografado. O conceito usado é baseado em forçar a ferramenta a renegociar a chave utilizada para a criptografia.
O ato de criptografar e descriptografar dados de carga útil para serviços como HTTPS não é particularmente resource-hungry. Uma conexão HTTPS intensifica o uso de recursos ao estabelecer conexões SSL, que envolvem negociação de chave. Isso acontece, em parte, porque a criptografia dos dados é feita usando algoritmos simétricos altamente eficientes, como AES.
Entretanto, para negociar a chave de sessão AES, o SSL precisa usar muitos recursos, como algoritmos assimétricos RSA. Isso acontece por causa do processo matemático específico envolvido e do comprimento da chave necessária. O AES, por exemplo, requer 128 ou 256 bits, enquanto que a RSA precisa de chaves de 1024 ou de até 2048 bits.
A ferramenta SSL-DoS do THC de utiliza isso para gerar grandes cargas em servidores HTTPS, usando um mínimo de largura de banda. Depois de estabelecer uma conexão, ela solicita repetidamente pedidos de renegociação da chave. Ao fazer isso, pode gerar até mil conexões em paralelo. De acordo com o THC, isso significa que um laptop padrão consegue desabilitar um “average server” através de uma conexão simples de banda larga. O que mais preocupa é que isso não se limita a servidores web, mas também pode ser usado para atacar serviços de e-mail e outros que usam conexões SSL criptografadas.
Uma solução para o problema é desabilitar chave de renegociação em configurações do SSL, mas poucos clientes utilizam esse recurso. Se o fizerem, os planos da ferramenta do THC serão frustrados, mas o problema fundamental não será abordado. De acordo com o THC, o programa pode ser facilmente modificado.
O código-fonte contém uma referência para uma versão privada com uma funcionalidade estendida. Aparentemente, a versão modificada consegue neutralizar um farm inteiro de servidores com balanceamento de carga SSL usando apenas 20 computadores.
A ferramenta foi lançada para o público agora de maneira “oficial”, porque sua existência "vazou" há alguns meses. Em um post sobre o lançamento, os membros do THC abordaram direitos civis, liberdade de expressão e da insatisfação natural com a segurança do SSL em geral. Mesmo com essas citações, não ficou clara a conexão entre esses problemas e o lançamento de sua ferramenta.
De qualquer forma, a ferramenta do THC inflama as discussões a respeito do futuro da criptografia baseada em SSL. Recentemente, o SSL tem estado nas notícias sendo relacionado a falsos certificados, em uma combinação nefasta para minar a fé no modelo de confiança hierárquica. Os ataques bem sucedidos do mês passado sobre a criptografia real e agora a nova ferramenta DoS levantam questões sobre a confiabilidade de todos os serviços SSL. Isso tem mostrado que os fundamentos técnicos do SSL estão longe de se tornarem sólidos.
Referencia: Under-Linux
Fonte: iMasters
Nenhum comentário:
Postar um comentário
Deixe seu comentário, ele é muito importante