SóProvas

ID
2518360
Banca
FCC
Órgão
TRE-PR
Ano
2017
Provas
Disciplina
Segurança da Informação
Assuntos

Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos mais essenciais para segurança na internet. O Drown aproveita que na rede, além de servidores que usam TLS por padrão, há outros que também suportam ........ e, explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um servidor vulnerável em menos de 1 minuto. Durante um período, os pesquisadores realizaram uma ampla varredura na internet e descobriram que 33% de todo tráfego HTTPS pode estar vulnerável ao ataque Drown. É importante ressaltar que a quebra da criptografia depende também da capacidade de monitorar o tráfego TLS, mas isto é facilmente realizável em redes públicas ou a partir da invasão da rede tanto no lado do cliente como do lado do servidor. Como a vulnerabilidade está do lado do servidor, não há nada que possa ser feito no lado do cliente, que nem fica sabendo que o ataque está acontecendo.

(Disponível em: https://blog.leverage.inf.br/2016/03/01/drown-attack-nova-vulnerabilidade-no-tls/. Acessado em: 03 jul. 2017)


Ao ler esta notícia, da qual foi omitido o protocolo de segurança, um Analista Judiciário concluiu, corretamente, que 

Alternativas
Comentários

  • Os pontinhos no texto devem ser completados com "SSL v2" conforme referência abaixo.

     

    (A) [ ERRADO ] tudo bem não usar SSL v1, mas isso não resolve o problema conforme comentário na letra (D)

     

    (B) [ ERRADO ] chutou o balde, dispensa comentários

     

    (C) [ ERRADO ] a referência fala de um problema com SSL v2 conforme comentário na letra (D)

     

    (D) [ GABARITO ] http://idciber.eb.mil.br/index.php?option=com_content&view=article&id=881:drown-attack-nova-vulnerabilidade-no-ssl&catid=17&Itemid=121

    "A solução definitiva passa por desabilitar o suporte a SSLv2 nos servidores, o que você provavelmente deveria ter feito a mais tempo dado que o protocolo é notoriamente vulnerável. O SSLv2 já vem desabilitado por padrão em servidores IIS 7.0 ou superiores. Há o risco também com servidores diferentes que compartilhem a mesma chave pública, o que é comum em certificados wildcard. Neste caso se um deles usar SSLv2, os demais servidores que usem somente TLS também podem ser atacados."

     

    (E) [ ERRADO ] usar o SSL v2 é justamente o problema conforme comentário na letra (D)

  • O link do enunciado da prova tá errado...

    Segue link: https://blog.leverage.inf.br/2016/03/01/drown-attack-nova-vulnerabilidade-no-ssl/

     

    Batizada de Drown, a séria vulnerabilidade descoberta afeta HTTPS e outros serviços que dependem de SSL e TLS, alguns dos protocolos mais essenciais para segurança na internet. Estes protocolos permitem que você navegue, acesse seu banco, compre, use email e mensagens instantâneas sem que terceiros possam ler as comunicações.

    Atualmente a maioria dos sites e aplicações seguras usa TLS e não SSLv2, que é um padrão defasado desenvolvido nos anos 90. O Drown aproveita que alguns servidores que usam TLS por padrão também suportam SSLv2 e explorando a vulnerabilidade do protocolo antigo, podem quebrar a criptografia do padrão TLS. Em testes realizados pelos pesquisadores, um PC normal foi capaz de quebrar a criptografia TLS em um servidor vulnerável em menos de 1 minuto.