“Nada pode ser seguro para sempre”
Taher ElGamal, co-criador do protocolo SSL

O Trustworthy Internet Movement (TIM) criou uma força-tarefa de especialistas em segurança criada para rever as questões do SSL e desenvolver propostas que visem novas soluções para o protocolo. O resultado foi um painel global e permanente que analisa a força das implementações https, o SSL Pulse.

De acordo com o primeiro relatório do projeto, divulgado na semana passada, 90% dos 200 mil sites https pesquisados são vulneráveis ​​a tipos conhecidos de ataques SSL.

“Nada pode ser seguro para sempre. A verdadeira questão não é quanto o SSL é seguro, mas se estamos atualizando nossa tecnologia para superar as ameaças e permanecer seguros”, disse Taher ElGamal, um dos criadores do protocolo SSL. “Estou orgulhoso de fazer parte desta iniciativa de rever a segurança do SSL e chegar a novas maneiras de melhorá-la”.

Na pesquisa, 90,4% dos sites pesquisados foram considerados inseguros*.

*para ser seguro um site tem que ser bem configurado e não deve ser vulnerável a qualquer um dos ataques conhecidos atualmente contra SSL (Insecure Renegotiation e o ataque BEAST).

75% dos sites pesquisados se mostraram vulneráveis ao ataque BEAST, que se aproveita de uma falha no SSL 3.0 e permite que o atacante descriptografe cookies https no navegador do usuário, sequestrando a sessão da vítima.

O ataque BEAST foi corrigido na versão 1.1 do protocolo Transport Layer Security (TLS), mas muitos servidores ainda suportam os protocolos mais antigos e vulneráveis​​, como o SSL 3.0, por razões de compatibilidade.

Acesse a pesquisa do Trustworthy Internet Movement

fonte:
The Hackers News