Poodle: clientes de BPI, BES, CGD, Millennium, e Santander estão vulneráveis

[Glorioso1212]

Um especialista em informática radicado em Londres acaba de publicar uma lista que que revela que todos os maiores bancos portugueses usam o protocolo de encriptação que tem a falha Poodle. O Portal das Finanças também tem a mesma falha.
João Miguel Neves, especialista da Internet e um dos membros mais ativos da comunidade “tecnológica” portuguesa, acaba de publicar uma lista que revela que os sites da Caixa Agrícola, Caixa Geral de Depósitos, Banif, BPI, BES, Montepio, Millennium, e Santander estão a usar o protocolo SSLv3.0, que está na origem de uma falha de segurança que pode ser usada para lançar ataques a contas bancárias online.

João Miguel Neves, que criou este site com ajuda de mais 10 entendidos na matéria, apenas teve de usar o browser e visitar cada um dos sites para saber se estava a ser usada a versão do SSL que tem a falha de segurança. Além dos referidos bancos, a falha foi detetada em sites da Segurança Social (que sanou o problema num dos sites) e ainda no Portal das Finanças.

A falha tanto pode afetar utilizadores que acedem ao banco online através de browsers como utilizadores que recorrem a apps específicas para o mesmo efeito.

Ao longo dos próximos dias, o site criado por João Miguel Neves irá proceder a atualizações e indicar se cada um dos endereços elencados está ou não vulnerável. Sobre os motivos que o levaram a criar este site, o especialista responde: «Os bancos costumam usar o argumento de que aplicam as melhores práticas, e agora temos a possibilidade de ver a capacidade de resposta a este problema. Há a perceção de que o Poodle é uma ameaça para os clientes de cada banco, mas são estas entidades que estão numa posição mais facilitada para resolver este problema».

A falha conhecida por Poodle, que foi descoberta ontem pela Google, não se deve a um erro de implementação, mas sim a uma falha do próprio protocolo segurança. A falha pode revelar-se especialmente ameaçadora para quem usar acessos à Net públicos ou semipúblicos (por Wi-fi ou cabo).

«Imagine que alguém está a aceder à conta do banco a partir de uma rede Wi-Fi a que outras pessoas têm acesso. Alguém que saiba da falha do SSLv3 pode tentar desviar a informação que está a ser transmitida e, devido à falha no protocolo, apenas terá de alterar alguns bits e bytes para garantir o acesso à password do utilizador», explica João Miguel Neves, admitindo que este tipo de ataques pressupõe que o atacante descubra a vítima no momento em que está a aceder à conta bancária on-line.

João Miguel Neves refere que seria relativamente fácil minimizar o impacto do Poodle nas contas bancárias online. «Bastava desligar o acesso ao protocolo SSLv3 nos servidores que suportam os sites dos bancos e, assim, a larga maioria dos browsers dos internautas não seria afetada, porque automaticamente passaria a usar outros protocolos de encriptação, como os TLS 1.0, TLS1.1 e TLS 1.2», informa.

No CERT.pt, o Serviço de Respostas de Incidentes de Segurança Informática que supervisiona a rede académica e que costuma atuar como principal referência no que toca à deteção de ameaças na Web em Portugal, confirma que está a preparar um relatório e um aviso para diferentes entidades, e também para o público em geral. «Preferimos não fazer comparações com outro tipo de ameaças que foram divulgadas há pouco tempo. Para já, o que podemos dizer é que se trata de uma ameaça muito abrangente, que afeta sites, serviços baseados na Web, mensagens instantâneas e todo o tipo de serviços que usam o protocolo SSLv3», refere Gustavo Neves, gestor do CERT.pt.

Gustavo Neves confirma que o CERT.pt está a trabalhar com o objetivo de garantir que todos os serviços, servidores e sites dependentes da Fundação para a Ciência e Tecnologia não ficam vulneráveis. O especialista de segurança refere ainda que vão ser acionados os meios necessários para disseminar informação através da denominada rede CSIRTS, que serve de elemento de ligação entre vários responsáveis pela informática de algumas das maiores empresas. Vodafone, Nos, PT, Caixa Geral de Depósitos, Millennium, EDP e Instituto de Gestão Financeira e de Equipamentos da Justiça (IGFEJ) são alguns dos nomes conhecidos que constam na lista.

A página criada por João Miguel Neves fornece algumas dicas que poderão minimizar o risco de um ataque, que na gíria, é conhecido por Man in the Middle. Os conselhos variam consoante o browser usado. No caso do Firefox, sabe-se que a Mozilla já disponibilizou um add on (um pequeno aplicativo) que evita dissabores. No Chrome, a solução está limitada à inserção da linha de comando --ssl-version-min=tls1; e no Internet Explorer, a solução passa por ir às Definições do browser, escolher Opções da Internet, e depois a opção Avançadas, e por fim desligar SSLv3 na secção Segurança.

A todos os utilizadores que não dominam a informática, o conselho é mais simples: evite de usar a conta de banco online em redes públicas ou cujos gestores são desconhecidos ou não merecem confiança. Em princípio, nas redes domésticas, o risco é menor, caso o acesso ao router esteja devidamente encriptado. Quem quiser limitar qualquer tipo de ameaça ao máximo deverá simplesmente não usar o acesso à banca online nos tempos mais próximos (até aos bancos tomarem medidas e os browsers lançarem novas versões).

O SSLv3 (sigla de Secure Sockets Layer, version 3) é uma tecnologia de encriptação com 15 anos. Esta tecnologia é usada para estabelecer ligações seguras entre internautas e servidores, que usam uma cifra que limita as probabilidades de intrusão e desvio de dados.

A Exame Informática está a contactar os vários bancos portugueses, a fim de saber como estão a lidar com esta ameaça. A todo o momento esta informação será atualizada.




EX.INF