Por que a recente falha de
segurança da Apple é tão assustadora
Na sexta-feira, a Apple lançou
sem alarde o iOS 7.0.6, explicando rapidamente que ele corrige um bug no qual
“um invasor com uma posição privilegiada de rede pode capturar ou modificar
dados em sessões protegidas por SSL/TLS”. O que isso significa? Que você
precisa atualizar seu iPhone agora mesmo.
Ah, e o OS X tem o mesmo
problema… só que ainda não há uma correção. A Apple diz àReuters que
isto virá “em breve”.
Se você entendeu por completo a
explicação da Apple, provavelmente você já atualizou o iOS. Se o texto lhe
parece incompreensível, eis o que isso significa para dispositivos da Apple.
O que é SSL?
O SSL ajuda a garantir que a
comunicação entre o navegador e servidores de seus sites favoritos permaneça
privadas e seguras. O TLS, por sua vez, é um protocolo mais recente que faz
basicamente a mesma coisa. Em resumo, o SSL/TLS é uma chave de criptografia que
permite a um navegador e um servidor saber que eles são quem dizem que são: é
como um aperto de mão digital e secreto, que mantém seguras suas informações
financeiras quando você faz um pagamento online, ou entra no site do seu banco.
Isso tudo acontece em segundo
plano: sua única interação direta com o SSL/TLS é quando você percebe o ícone
do cadeado na barra de endereços. Isso significa que você tem uma linha direta,
privada e segura.
O bug da Apple significa que o
Safari – ou um dos aplicativos afetados – não sabe se está falando com os
servidores certos. Isso deixa você, e tudo o que você transmite através da web,
vulnerável a um ataque man-in-the-middle.
O que é um ataque man-in-the-middle?
Um ataque man-in-the-middle,
que chamaremos de MitM daqui em diante, é basicamente uma forma de espionagem.
Neste caso, um intruso MitM em uma rede compartilhada intercepta a comunicação
entre o navegador e um site – monitorando, gravando e vendo tudo o que acontece
entre vocês.
Gmail, Facebook, transações
financeiras – tudo isso visto, em tempo real, por um completo estranho. Eis um
gráfico simples, via Wikipédia, que explica isto:
Normalmente, ataques como este
são frustrados pela tecnologia SSL/TLS, ou pelo menos ficam tão impraticáveis
que não valem a pena – é difícil interceptar um aperto de mão criptografado.
Mas o bug torna isto dolorosamente fácil.
Na verdade, a “posição
privilegiada de rede” mencionada acima pela Apple pode ser qualquer rede Wi-Fi
pública. Basta o intruso estar no mesmo Starbucks que você. E isso vem acontecendo
desde setembro… de 2012.
Qual a gravidade da situação?
É grave. Eis a maneira mais
simples de explicar isso: desenvolvedores que entendem profundamente do assunto
não querem nem falar sobre isso abertamente, por medo de dar aos hackers mais
munição do que eles já têm:
Matthew Green, professor de
criptografia na Universidade Johns Hopkins, explica à Reutersque
isso é “tão ruim quanto você possa imaginar, e isso é tudo que posso dizer”.
Claro, sua rede Wi-Fi protegida
por senha é segura; obviamente não há um hacker à espreita em cada Wi-Fi
público; e sua informação pessoal nem sempre é interessante para os outros. E
se você já atualizou o seu iPhone ou iPad para o iOS 7.0.6, você está seguro.
Mas é bizarro e preocupante saber
que isso vem acontecendo há um ano e meio. E sabendo que isto foi amplamente
divulgado – e ainda não foi corrigido no OS X – significa que vale a pena tomar
algumas medidas extras de precaução.
Como isso aconteceu?
Ninguém sabe, e a Apple não diz.
Mas as teorias vão desde algo plausível a algo conspiratório. Vamos começar com
o que provavelmente aconteceu e avançar a partir daí.
Adam Langley, do Google, detalhou
as especificidades do bug em seu blog pessoal. Basicamente, trata-se de
uma simples linha extra de código. Como aponta a ZDNet, um
“goto fail;” duplicado faz a verificação SSL passar em quase todos os casos,
mesmo quando não deve.
Langley tem o argumento mais
plausível: isso poderia ter acontecido com qualquer um.
Este tipo de erro sutil enterrado
no código é um pesadelo. Eu acredito que isso é apenas um erro e lamento que
alguém possa ter errado no editor e criado isto.
Porém, não é necessário muito
esforço de imaginação para ligar esse bug à espionagem americana. John Gruber,
devoto da Apple, falou exatamente isso: o comando “goto fail;” entrou no
iOS 6.0, lançado um mês antes de a Apple supostamente ser adicionada ao
programa PRISM. No mínimo, é inteiramente possível que a NSA descobriu este bug
antes da Apple, e o vem usando secretamente para seus propósitos de espionagem.
Como posso evitar isso?
Se você estiver em um dispositivo
iOS, baixe a versão 7.0.6 imediatamente. Se você tem um iPhone 3GS ou iPod
touch antigo, baixe o iOS 6.1.6, que também corrige o bug. Sim, a Apple
lançou uma atualização para aparelhos que não recebem mais versões novas do iOS
– é um sinal de que ela está enfim levando este bug a sério.
Mas, por enquanto, o OS X está
vulnerável; e agora que o erro foi amplamente divulgado, há quem esteja
disposto a aproveitá-lo enquanto puder. Por isso, evite usar os programas a
seguir em redes Wi-Fi públicas, que Ashkan Soltani confirma estarem
vulneráveis:
- Atualização de Software
- Calendário
- Facetime
- iBooks
- Keynote
Sua melhor opção é usar o Chrome
ou o Firefox, que não são afetados pelo bug no OS X. Além disso, use apenas
redes Wi-Fi seguras; se você tiver mesmo que usar uma rede compartilhada, evite
lidar com informações financeiras, transações ou dados pessoais. Essa é uma boa
regra em geral, mas especialmente neste caso.
Só espero que a solução “muito em
breve” chegue em dias, não em semanas.
Why the recent security flaw Apple is so scary
On Friday , Apple released iOS 7.0.6 without fanfare , quickly explaining that he fixes a bug in which " an attacker with a privileged network position may capture or modify data protected by SSL / TLS sessions ." What does this mean ? You need to update your iPhone right now.
Description : apple broken glass
Oh, and OS X has the same problem ... just that there is not a fix. Apple says àReuters this will come "soon " .
If you completely understand the explanation from Apple, you probably already updated iOS . If the text seems incomprehensible to him , this is what it means for Apple devices .
Description : apple broken glass
Oh, and OS X has the same problem ... just that there is not a fix. Apple says àReuters this will come "soon " .
If you completely understand the explanation from Apple, you probably already updated iOS . If the text seems incomprehensible to him , this is what it means for Apple devices .
What is SSL ?
SSL helps ensure that communication between the browser and server to your favorite sites remain private and secure. The TLS , in turn , is a more recent protocol is basically the same. In summary , the SSL / TLS is an encryption key that allows a browser and a server to know that they are who they say they are is like a handshake and digital secret that keeps your financial information safe when you make a payment online , or enters your bank's website .
SSL helps ensure that communication between the browser and server to your favorite sites remain private and secure. The TLS , in turn , is a more recent protocol is basically the same. In summary , the SSL / TLS is an encryption key that allows a browser and a server to know that they are who they say they are is like a handshake and digital secret that keeps your financial information safe when you make a payment online , or enters your bank's website .
This all happens in the background : his only direct interaction with the SSL / TLS is when you notice the padlock icon in the address bar . That means you have a direct , private and secure online .
The bug means that Apple's Safari - or one of the affected applications - do not know if you're talking to the right server . This leaves you , and everything that you transmit over the web , vulnerable to a man-in - the-middle .
What is a man-in - the-middle ?
A man-in - the-middle , we'll call MitM hereafter , is basically a form of espionage. In this case, a MitM attacker on a shared network intercepts communications between a browser and a website - monitoring , recording and watching everything that happens between you.
Gmail , Facebook , financial transactions - all seen in real time by a complete stranger . Here is a simple chart , via Wikipedia, which explains this:
Description : Apple misses man in the middle
Typically , attacks like this are frustrated by SSL / TLS , technology or at least are so impractical that are not worth it - it's hard to intercept encrypted shaking hand. But the bug makes it painfully easy.
In fact , the " privileged network position " mentioned above by Apple can be any public Wi - Fi network. Just the intruder be in the same Starbucks you . And this has been going on since September ... 2012.
How serious is the situation?
It's serious . Here is the simplest way to explain it : developers who understand deeply the subject do not even want to talk about it openly for fear of giving hackers more ammunition than they already have :
Matthew Green , professor of cryptography at the Johns Hopkins University , explains the Reutersque it is " as bad as you can imagine , and that's all I can say ."
Sure, your Wi - Fi network is password protected safe , obviously there is not a hacker lurking around every public Wi - Fi , and your personal information is not always interesting to others . And if you 've already updated your iPhone or iPad to iOS 7.0.6 , you are safe .
But it is bizarre and disturbing to know that this has been going a year and a half ago . And knowing that it was widely reported - and has not been fixed in OS X - means that it is worth taking a few extra precautions .
How did this happen ?
Nobody knows , and Apple does not. But theories range from something to something plausible conspiracy . Let's start with what probably happened and move on from there .
Adam Langley , Google , detailed the specifics of the bug on his personal blog . Basically , it is a single extra line of code. As ZDNet points to a " goto fail ; " duplicate makes the SSL check passes in almost all cases , even when they should not .
Langley has the most plausible argument : this could have happened to anyone .
This kind of subtle error buried in the code is a nightmare . I believe this is just a mistake and I regret that someone might have been wrong in the editor and created this.
However , much effort of imagination to turn this bug to American intelligence is not necessary . John Gruber , Apple devotee , said exactly that: " goto fail ; " command entered in iOS 6.0 , released one month before Apple reportedly be added to the PRISM program. At least , it is entirely possible that the NSA discovered this bug before Apple , and has been using to secretly spy your purposes .
How can I avoid this?
If you are on an iOS device , download the version 7.0.6 immediately. If you have an iPhone 3GS or iPod touch old , download the iOS 6.1.6 , which also fixes the bug . Yes , Apple released an update for devices that do not get newer versions of iOS - is a sign that she is finally taking this bug seriously .
The bug means that Apple's Safari - or one of the affected applications - do not know if you're talking to the right server . This leaves you , and everything that you transmit over the web , vulnerable to a man-in - the-middle .
What is a man-in - the-middle ?
A man-in - the-middle , we'll call MitM hereafter , is basically a form of espionage. In this case, a MitM attacker on a shared network intercepts communications between a browser and a website - monitoring , recording and watching everything that happens between you.
Gmail , Facebook , financial transactions - all seen in real time by a complete stranger . Here is a simple chart , via Wikipedia, which explains this:
Description : Apple misses man in the middle
Typically , attacks like this are frustrated by SSL / TLS , technology or at least are so impractical that are not worth it - it's hard to intercept encrypted shaking hand. But the bug makes it painfully easy.
In fact , the " privileged network position " mentioned above by Apple can be any public Wi - Fi network. Just the intruder be in the same Starbucks you . And this has been going on since September ... 2012.
How serious is the situation?
It's serious . Here is the simplest way to explain it : developers who understand deeply the subject do not even want to talk about it openly for fear of giving hackers more ammunition than they already have :
Matthew Green , professor of cryptography at the Johns Hopkins University , explains the Reutersque it is " as bad as you can imagine , and that's all I can say ."
Sure, your Wi - Fi network is password protected safe , obviously there is not a hacker lurking around every public Wi - Fi , and your personal information is not always interesting to others . And if you 've already updated your iPhone or iPad to iOS 7.0.6 , you are safe .
But it is bizarre and disturbing to know that this has been going a year and a half ago . And knowing that it was widely reported - and has not been fixed in OS X - means that it is worth taking a few extra precautions .
How did this happen ?
Nobody knows , and Apple does not. But theories range from something to something plausible conspiracy . Let's start with what probably happened and move on from there .
Adam Langley , Google , detailed the specifics of the bug on his personal blog . Basically , it is a single extra line of code. As ZDNet points to a " goto fail ; " duplicate makes the SSL check passes in almost all cases , even when they should not .
Langley has the most plausible argument : this could have happened to anyone .
This kind of subtle error buried in the code is a nightmare . I believe this is just a mistake and I regret that someone might have been wrong in the editor and created this.
However , much effort of imagination to turn this bug to American intelligence is not necessary . John Gruber , Apple devotee , said exactly that: " goto fail ; " command entered in iOS 6.0 , released one month before Apple reportedly be added to the PRISM program. At least , it is entirely possible that the NSA discovered this bug before Apple , and has been using to secretly spy your purposes .
How can I avoid this?
If you are on an iOS device , download the version 7.0.6 immediately. If you have an iPhone 3GS or iPod touch old , download the iOS 6.1.6 , which also fixes the bug . Yes , Apple released an update for devices that do not get newer versions of iOS - is a sign that she is finally taking this bug seriously .
Description : apple os x misses man in the middle
But for now , OS X is vulnerable , and now that the error has been widely reported, there are those who are willing to take advantage of it while you can. Therefore , avoid using the following programs in public Wi - Fi networks , Ashkan Soltani confirms that being vulnerable :
• Software Update
• Twitter
• Mail
• Calendar
• Facetime
• iBooks
• Keynote
Your best option is to use Chrome or Firefox , which are not affected by the bug in OS X. Also, use only secure Wi - Fi networks , even if you have to use a shared network, avoid dealing with financial information , transactions or personal data . This is a good rule in general, but especially in this case .
I just hope that the solution "very soon " arrive in days , not weeks
• Software Update
• Calendar
• Facetime
• iBooks
• Keynote
Your best option is to use Chrome or Firefox , which are not affected by the bug in OS X. Also, use only secure Wi - Fi networks , even if you have to use a shared network, avoid dealing with financial information , transactions or personal data . This is a good rule in general, but especially in this case .
I just hope that the solution "very soon " arrive in days , not weeks
Nenhum comentário:
Postar um comentário