Uso SSL, logo meu site é seguro, certo?

Errado!

Muitos donos de sites e até mesmo usuários acreditam que o cadeado que aparece na barra de endereço (https:// em vez do regular http://) significa que os dados estão seguros. Isso é um erro por 2 motivos:

  1. Há inúmeras formas de atacar o site, que não envolvem a coleta dos dados entre usuário-servidor
  2. Há formas  de atacar o próprio SSL (ou ao menos houve no passado)

Sobre as inúmeras formas de atacar o site, isso varia desde um simples XSS (ataque que envolve a execução de scripts no browser que não eram esperados pelo desenvolvedor) a ataques mais diretos aos dados como Injeção de SQL (ataque que envolve a leitura /escrita direta no banco de dados).

Em resumo o SSL significa que o site criptografa os dados enviados e recebidos do servidor. Isso dificulta um tipo de ataque específico, chamado man-in-the-middle, ou “homem no meio do caminho”.

Imagine o seguinte cenário, você está em um shopping e vê uma rede sem fio aberta com nome NOMEDOSHOPPING. Legal, wifi grátis! O problema é que quem criou essa rede terá acesso aos dados que trafegam nela. Ou seja, quando você acessa google.com.br a requisição vai para o roteador e o hacker sabe “hey, ele vai pesquisar algo”.

A coisa fica feia mesmo é quando você envia algum dado, como seu cartão de crédito, ou mesmo usuário / senha para um site. Se os dados não forem criptografados quem tiver acesso aos pacotes enviados (roteador da wifi grátis) terá acesso imediato ao seu usuário, senha, conta, etc, etc, etc.

Além diso há N outras formas de acessar os pacotes que não criando uma rede maliciosa. E há N outras formas de explorar essa rede maliciosa (como um redirecionamento de DNS).

Outro problema, como dito anteriormente é que o próprio SSL pode falhar. Vide HeartBleed e outros tantos problemas já encontrados.

Pois é, jovem padawan. O tal cadeado não parece trancar seus dados tão bem agora, não é?

O que aprendemos hoje é:

  1. Não confie em cadeados, selo de site seguro (mais sobre isso no futuro) e qualquer outra “garantia 100%”. Não existe 100% em segurança. Nunca.
  2. Não confie em redes abertas. Se puder, nunca as use. Se for usar não acesse nada crítico (como emails ou redes sociais).
  3. O seu celular pode conectar automaticamente em redes abertas. Desative o wifi se não estiver em casa.

Por hoje é só. Até a proxima!