NSA alerta para eliminar versões obsoletas do TLS – Transport Layer Security

26/01/2021 mindsecblog Notícias 2

NSA alerta para eliminar versões obsoletas do TLS – Transport Layer Security. Criptografia obsoleta fornece uma falsa sensação de segurança.

A Agência de Segurança Nacional dos EUA publicou um comunicado de segurança [ PDF ] neste mês instando os administradores de sistema em agências federais e além a pararem de usar protocolos TLS antigos e obsoletos. “A NSA recomenda que apenas TLS 1.2 ou TLS 1.3 sejam usados; e que SSL 2.0, SSL 3.0, TLS 1.0 e TLS 1.1 não sejam usados“, disse a agência.

A National Security Agency (NSA) recomenda enfaticamente a substituição de configurações de protocolo obsoletas por outras que utilizar criptografia e autenticação fortes para proteger todas as informações confidenciais. Com o tempo, novos ataques contra o transporte Layer Security (TLS) e os algoritmos que ele usa foram descobertos. Conexões de rede que empregam protocolos obsoletos correm um risco elevado de exploração pelos adversários. Dados sensíveis e valiosos requerem fortes proteções em sistemas eletrônicos e transmissões. TLS e seguro Sockets Layer (SSL) foram desenvolvidos como protocolos para criar canais privados e seguros entre um servidor e cliente usando criptografia e autenticação. Embora os padrões e a maioria dos produtos tenham sido atualizados, as implementações muitas vezes não acompanhou.

“Usar criptografia obsoleta fornece uma falsa sensação de segurança porque parece que dados confidenciais estão protegidos, embora na verdade não estejam”, acrescentou a agência.

Segurança da Camada de Transporte (TLS) e Secure Sockets Layer (SSL) 2 foram desenvolvidos como protocolos para criar esses canais protegidos usando criptografia e autenticação. Com o tempo, novos ataques contra o TLS e os algoritmos que ele usa foram descobertos. As normas e a maioria dos produtos foi atualizada, mas as implementações frequentemente não acompanharam. Conexões de rede empregando protocolos obsoletos correm um risco elevado de exploração por adversários. Como resultado, todos os sistemas devem evitar o uso configurações obsoletas para protocolos TLS e SSL

Mesmo se TLS 1.2 e TLS 1.3 forem implantados, o NSA alerta contra a configuração desses dois protocolos com parâmetros criptográficos e conjuntos de criptografia fracos. “Algoritmos de criptografia especialmente fracos no TLS 1.2 são designados como NULL, RC2, RC4, DES, IDEA e TDES / 3DES; conjuntos de criptografia que usam esses algoritmos não devem ser usados“, acrescentou a agência. “O TLS 1.3 remove esses conjuntos de criptografia, mas as implementações que oferecem suporte a TLS 1.3 e TLS 1.2 devem ser verificadas quanto a conjuntos de criptografia obsoletos“, complementa.

A agência de segurança cibernética dos EUA publicou uma lista de ferramentas em seu perfil GitHub para ajudar os administradores de sistema com a tarefa de identificar sistemas em suas redes internas que ainda usam configurações de protocolo TLS obsoletas.

Segundo a NSA dados sensíveis e valiosos requerem fortes proteções em sistemas eletrônicos e transmissões.

Mensagem semelhante na Holanda

O comunicado da NSA, publicado em 5 de janeiro, foi repetido ontem pela contraparte da agência na Holanda, o Dutch National Cyber Security Center.

Em um alerta semelhante [ PDF ], o NCSC holandês também recomendou que as agências governamentais holandesas e empresas privadas mudassem para o TLS 1.3 como parte de uma abordagem de configuração “future-proof“.

Os dois alertas vieram depois que, em meados de 2020, os principais navegadores da web pararam de oferecer suporte a TLS 1.0 e TLS 1.1, citando razões de segurança. Em março de 2020, a empresa de segurança Netcraft relatou que cerca de 850.000 sites ainda estavam usando TLS 1.0 e TLS 1.1 para criptografar seu tráfego HTTPS, um número que diminuiu lentamente desde então.

Em seu comunicado, a NSA alertou que novos ataques contra protocolos TLS estão sempre sendo descobertos e que as organizações devem usar as versões mais recentes do protocolo TLS para “sempre ficar à frente das habilidades dos agentes mal-intencionados e proteger informações importantes“.