Um grupo de investigadores na Alemanha afirma recentemente ter descoberto mais de 40 vulnerabilidades sobre o protocolo STARTTLS, bastante usado ainda em servidores e clientes de email pela Internet.
O STARTTLS trata-se de um sistema de comunicação segura, que foi adotado como uma alternativa a ligações seguras TLS. Este protocolo é antigo, e tinha sido criado numa altura em que ligações seguras em servidores de email POP, IMAP e SMTP ainda eram algo pouco usado.
Invés de enviar os dados via uma ligação não encriptada, o STARTTLS verifica se tanto o cliente como servidor remoto de email permitem uma ligação TLS encriptada, enviando em seguida a mesma.
Este protocolo foi visto como uma forma de permitir mais segurança em sistemas de email numa altura em que ligações seguras não eram tão populares como agora. E muitos administradores de sistemas de email ativaram as mesmas como forma de garantir uma forma de transição posterior para TLS.
Hoje em dia, praticamente todos os sistemas de email suportam ligações TLS diretamente, e o STARTTLS caiu em desuso, mas ainda é usado em algumas organizações como forma de ligação.
No entanto, um grupo de investigadores veio recentemente revelar algumas falhas importantes sobre este sistema. Os investigadores revelaram ter descoberto mais de 40 falhas diferentes sobre o STARTTLS, que podem abrir portas para roubo de dados e ataques “man in the middle”.
Os investigadores afirmam mesmo que, tendo em conta que esta vulnerabilidades são tão vulgares e fáceis de serem exploradas, o recomendado passa por desativar por completo as ligações STARTTLS, passando a usar ligações seguras TLS em alternativa.
A boa notícia é que os investigadores tem vindo a trabalhar com os principais fornecedores de programas de email para corrigirem as falhas nos mesmos, e evitar assim que possam ser exploradas negativamente pelos utilizadores finais. Ainda assim, a menos que esteja num sistema onde TLS não exista – o que é raro hoje em dia – o recomendado é deixar de lado o STARTTLS.
Nenhum comentário
Seja o primeiro!