Falha do HTTPS não tem solução, dizem especialistas

Não existe uma solução para o ataque Breach (sigla em inglês para Reconhecimento de Browser e Extração via Compressão de Hipertexto Adaptável) descoberto por engenheiros da Salesforce na semana passada. Segundo pesquisadores, todas as versões dos protocolos TLS e SSL são vulneráveis ao ataque, mesmo que nem todo site que utiliza HTTPS esteja necessariamente em risco.

Segundo eles, sites, aplicações e páginas que empregam a compressão HTTP são mais vulneráveis. Também usam parâmetros de consulta string para refletir dados do usuário. Por fim, sites alvo são aqueles que trafegam dados sensíveis, como endereços de e-mail e credenciais de segurança.

Engenheiros da Salesforce prometem divulgar uma ferramenta que permite às empresas testar seus sites usando códigos prova-conceito que exploram o Breach. “Estou no processo de limpeza do código e espero publicá-lo em breve. Vai ser uma ferramenta única que pode ser rodada localmente para testar o site”, diz o pesquisador da Salesforce, Angelo Prado. “Você pode ajustar os alvos e testá-los”.

Esclarecendo, a ferramenta não pode ser usada para escanear a web aleatoriamente à procura de sites vulneráveis. “Ela não é um scanner, você precisa identificar um ponto frágil primeiro, necessita de um humano”, explica Angelo. “No meio tempo, a sessão ‘Am I Affected’ do site breachattack.com é um bom começo para um teste manual com a ferramenta gratuita Fiddler”.

O que acontece se um site for vulnerável? “Infelizmente, desconhecemos uma solução efetiva para o problema” atesta o pesquisador. “Algumas dessas soluções são mais práticas e uma única mudança pode cobrir todos os aplicativos, enquanto outras devem ser feitas página por página.” Ele adiciona: “Independente da solução que escolher, é altamente recomendável que você monitore o seu tráfego para detectar possíveis ataques”.

A melhor técnica para acabar com a vulnerabilidade é desabilitar a compressão HTTP, usada para melhorar o uso da banda larga e da capacidade de processamento do servidor para aumentar a rapidez de navegação. Ela envolve a troca de duplicatas dos dados para um indicador que leve ao ponto original.

Mas utilizar esse recurso deixa o HTTPS sensível a um ataque, no qual o atacante é capaz de bisbilhotar as comunicações HTTPS e olhar o tamanho dos pacotes transmitidos. E enviando requisições, consegue deduzir as informações que estão sendo transmitidas.

“Na prática, somos capazes de recuperar tokens CRSF com menos de 4 mil requisições”, comenta Angelo. “Navegadores como o Google Chrome e Internet Explorer enviam esse número de requisições em menos de 30 segundos, incluindo call-backs ao invasor”.

Apesar da ameaça, desabilitar a compressão nem sempre é viável, porque ela faz com que a performance do servidor web seja a esperada pelos administradores e usuários, de acordo com a Ars Technica.

Outra soluções, menos efetivas, sugeridas pelos pesquisadores incluem “separar os segredos da entrada do usuário”, o qual provavelmente envolve uma reforma do software do servidor web, ou mascarar segredos tornando-os aleatórios. Outras técnicas incluem a adição de dados randômicos nas mensagens de resposta HTTP para esconder o seu tamanho real, e a limitação das requisições HTTPS.

Mas muitas dessas soluções têm seus efeitos colaterais e não consertam o problema do HTTPS. Ou como diz o aviso sobre a vulnerabilidade aos ataques Breach: “Não temos o conhecimento de nenhuma solução prática para o problema”.