Uma das regras básicas para manter sistemas digitais em rede seguros é manter-se atualizado. Seja usando as versões mais modernas dos protocolos ou aplicando as atualizações de segurança mais recentes em toda a pilha de software envolvida (sistema operacional, bibliotecas, interpretadores etc), a segurança da informação depende da constante atenção ao que há de mais novo, dado que brechas e vulnerabilidades são encontradas praticamente todos os dias.
Quando falamos da Web então, esse cuidado é ainda maior, já que hoje ela é como uma plataforma por onde correm informações críticas como transações financeiras, dados sigilosos etc. Do ponto de vista do usuário final, navegar pelos sites e ver aquele ícone de cadeado fechado (ou verde) ao lado do endereço eletrônico começado por HTTPS nos deixa mais tranquilos. Estes indicadores nos passam a certeza de que nossos dados e transações não serão xeretados por aí.
Mas quão certos podemos estar de que aquele cadeado realmente nos indica segurança? O fato é que muitos sites, embora implementem HTTPS não são totalmente seguros! Isso é o que revela o estudo de Maurício Fiorenza e colaboradores intitulado Uma Análise da Utilização de HTTPS no Brasil e publicado no Simpósio Brasileiro de Redes de Computadores e Sistemas Distribuídos (SBRC 2020), que ocorreu na semana passada.
O estudo faz uma ampla análise de quase seis mil servidores Web brasileiros, incluindo sites de grandes bancos, grandes e pequenos varejistas, prefeituras, governos estaduais e governo federal. Vale dizer que os sites comerciais não foram colhidos ao acaso, mas foram obtidos a partir de associações como a Federação Brasileira de Bancos (Febraban) e a Associação Brasileira de Comércio Eletrônico (ABCOMM).
Uma análise superficial poderia nos dizer que a Web do Brasil, para a amostra coletada, é bastante segura, já que quase todos os sites avaliados (94,9%) utilizam alguma versão dos protocolos de criptografia para Web como o SSL (Secure Socket Layer) ou o mais moderno TLS (Transport Layer Security). Contudo, os autores pesquisaram mais a fundo e descobriram que a maioria dos sites suporta versões dos protocolos de criptografia que não são recomendadas por terem sido descobertas falhas de segurança nestes protocolos que põem em risco seus usuários.
De forma geral, os sites costumam suportar múltiplas versões dos protocolos de criptografia para manter compatibilidade com navegadores desatualizados, tal como ocorre também com as diferentes versões do HTTP. Contudo, manter versões mais antigas de protocolos cujas vulnerabilidades são conhecidas há muito tempo põe em risco os dados dos usuários. Segundo os autores, o protocolo TLS 1.0, que possui falha conhecida desde 2002, por exemplo, é ainda aceito por três em cada quatro dos sites estudados.
Outras versões não recomendadas como SSLv2, SSLv3 e TLS 1.1, também são suportadas, sendo que as duas primeiras foram encontradas em poucos sites (106 e 290 sites, respectivamente), enquanto que a versão 1.1 do TLS pode ser encontrada em 80% dos sites. Já a versão mais segura dos protocolos - i.e., aquela que não possui vulnerabilidade conhecida - o TLS 1.3 é suportado por apenas 23% dos sites estudados.
Os autores destacam o quadro geral por categoria: sites governamentais em cada uma das três esferas e sites comerciais. Na esfera federal, por exemplo, os autores identificaram discrepâncias como um grande número de sites usando TLS 1.3, de um lado, e 10% dos sites federais sem suportar HTTPS, de outro. Nos sites comerciais, os autores observaram, com preocupação, que 54% dos sites bancários e 78% dos sites de comércio eletrônico suportam versões vulneráveis dos protocolos de criptografia e .
Bom, o quadro não é dos mais animadores e aqui retomamos a lição geral para quem trabalha com sistemas de digitais em rede: mantenha-se atualizado. No Brasil, uma forma de estar em dia com as novidades sobre segurança da informação é assinar os canais de contato do Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (CERT.br), que tem a missão de coordenar ações de segurança da informação no Brasil, servindo como uma central para onde são enviadas notificações de incidentes de segurança no Brasil.
Vale também conhecer o Centro de Atendimento a Incidentes de Segurança (CAIS) da RNP (Rede Nacional de ensino e Pesquisa). A lista de anúncios deles, que existe há cerca de 20 anos, costuma divulgar vulnerabilidades das mais diferentes ferramentas como gerenciadores de conteúdo, ferramentas de virtualização, servidores Web e outras. Considero como uma fonte de informação imprescindível para quem tem interesse na área de segurança da informação.
Comentários
Postar um comentário