RNP - Rede Nacional de Ensino e Pesquisa

 

Sobre a RNP | Parcerias | Contato

 

A Rede | Serviços | Operação | Segurança | P&D | Capacitação | Eventos

 

RNP > Serviços > Segurança em redes > Alertas do CAIS

Segurança de redes 
 

CAIS-ALR-19052000

Falha na validação de sessões SSL pelo Netscape Navigator

[CAIS, 19.05.2000, revisão 01]


Motivação

Pesquisadores da Eslovénia descobriram uma falha de segurança no Netscape Navigator no que se refere à validação de sessões SSL (Secure Socket Layer), usadas amplamente pelos usuários como recurso de proteção nos servicos de Internet Banking e comercio eletrónico. O CAIS gostaria de alertar a todos sobre este problema e chamar à tomada de providências.

Impacto

Como conseqüência desta falha de segurança, versões vulneráveis do navegador Netscape podem ignorar alertas sobre certificados SSL inválidos, permitindo assim que o usuário revele informações confidenciais como senhas e números de cartões de credito a usuários maliciosos.

Detalhes

O SSL (Secure Socket Layer) é basicamente um protocolo de criptografia que permite uma comunicação bidirecional segura.

O SSL oferece:

  • confidencialidade, através do uso de algoritmos de criptografia especificados pelo usuário;
  • integridade, através do uso de funções hash especificadas pelo usuário;
  • autenticação, através do uso de certificados de chaves publicas; e
  • não-repudio, através do uso de mensagens assinadas.

A atual falha de segurança encontrada em algumas versões dos navegadores Netscape está justamente relacionada ao uso de certificados de chaves públicas em sessões web usando SSL.

As conexões SSL são usualmente iniciadas em um navegador através do uso de uma URL especial, no caso de um sessão web "segura", o prefixo é: "https:". Os navegadores, de maneira geral, que permitem sessões SSL mostram um pequeno ícone na tela do navegador quando uma página é acessada com sucesso usando SSL. No caso específico do navegador Netscape, este ícone é um cadeado fechado.

Quando um navegador tenta conectar um servidor protegido com SSL é estabelecida o que se conhece como sessão SSL. No início desta sessão o servidor apresenta seu certificado contendo sua chave pública e, neste momento, o navegador verifica as seguintes condições:

  • O certificado deve ser emitido por uma autoridade certificadora (CA) considerada confiável pelo navegador.
  • O certificado não pode ter expirado. A data do certificado deve ser posterior à data e horário do sistema onde o navegador está instalado.
  • O certificado deve ter sido gerado para o servidor que está sendo acessado pelo navegador.

Cumpridos estes três pré-requisitos, o navegador aceita o certificado. Caso uma destas condições não se cumpra, o navegador alerta (ou ao menos, deveria alertar) o usuário, e cabe a este decidir se aceita a conexão ou não.

Todo este "protocolo" é com o intuito de garantir ao usuário que seu navegador esteja realmente se conectando ao servidor correto e não a algum outro servidor gerenciado por um usuário malicioso que pretenda capturar as informações confidencias eventualmente fornecidas pelo usuário. Ou seja, o fracasso de um ataque do tipo "web-spoofing" é garantido pelo uso de certificados SSL.

Onde reside a falha? O navegador Netscape faz realmente a verificação correta das condições de certificação no inicio da sessão SSL, o problema é que enquanto esta sessão SSL estiver ativa, todas as conexoes HTTPS ao endereco IP desse servidor são consideradas como parte dessa sessão e, portanto, as condições de certificação não são mais verificadas. Ao invés do navegador Netscape confrontar os nomes dos servidores de toda e qualquer conexão HTTPS com a lista dos nomes dos servidores utilizados em sessões SSL abertas, ele compara apenas *endereços IP*. Assim, desde o momento que um usuário malicioso pode contaminar um mapa DNS e colocar o IP da maquina atacante como sendo o IP de um servidor https, cria-se uma grande brecha de segurança.

Versões vulneráveis

As versões afetadas parecem ser todas as inferiores à versão 4.73. O problema foi identificado em testes nas versões 4.72, 4.61 e 4.07.

Solução

A solução para o problema é a atualização do Netscape para a versão 4.73. O download desta versão pode ser feito através da seguinte URL: http://home.netscape.com/download/

Existe uma alternativa que é a instalação de um software chamado Netscape Personal Security Manager 1.1, que altera a configuração do Netscape evitando o problema aqui tratado. Ele pode ser encontrado em:

http://www.sun.com/download/index.jsp

Por último, se mesmo aplicando a solução, você tiver alguma suspeita de atividade ilícita, o CAIS recomenda, apenas por precaução, prestar especial atenção aos seguintes detalhes quando receber um certificado SSL:

  • O certificado deve pertencer ao site que está sendo acessado. Não se deve aceitar um certificado de e-cash.com.br se o site que está sendo acessado é o e-bank.com.br
  • A data e horário do sistema a partir do qual está se navegando deve estar dentro do prazo de validade do certificado.
  • O certificado deve ter sido emitido por alguma autoridade certificadora que garanta a segurança do processo. Para ver os dados de um determinado certificado, basta clicar no ícone "cadeado fechado" localizado no canto inferior do navegador e clicar na opção "View Certificate".

Leitura adicional recomendada

CA-2000-05: Netscape Navigator Improperly Validates SSL Sessions
http://www.cert.org/advisories/CA-2000-05.html

Netscape Security Notes
http://home.netscape.com/security/notes/index.html



Centro de Atendimento a Incidentes de Segurança

Listas de alertas publicados:
2012 | 2011 | 2010 | 2009 | 2008 | 2007 | 2006 | 2005 | 2004 | 2003 | 2002 | 2001 | 2000 | 1999 | 1998

Consulta em alertas

 

Assinatura dos Alertas do CAIS

Assine a lista de alertas do CAIS e receba antecipadamente, por correio eletrônico, as mais recentes notificações sobre segurança em redes e sistemas.

Formulário de assinatura dos Alertas do CAIS

Formulário de assinatura

Notícias RNP

RNP na mídia

Sala de imprensa

Publicações

Documentos

RSS da RNP

Contato com o Cais:

+55 (19) 3787-3300
+55 (19) 3787-3301

cais@cais.rnp.br

Chave PGP pública do Cais

11.10.2012

Guia RNP

Rede Nacional de Ensino e Pesquisa

Rua Lauro Müller, 116 sala 1103

Botafogo - Rio de Janeiro - RJ

22290-906

tel: 55 21 2102-9660

fax: 55 21 2279-3731


Rede Nacional de Ensino e Pesquisa

Prédio da Embrapa/Unicamp Av. André Tosello, 209

Cidade Universitária Zeferino Vaz - Campinas - SP

13083-886

tel: 55 19 3787-3300

fax: 55 19 3787-3301


Rede Nacional de Ensino e Pesquisa

SAS, quadra 5, lote 6, bloco H, 7° andar Edifício IBICT

Brasília - DF

70070-914

tel: 55 61 3243-4300

fax: 55 61 3226-5303