O SSL está contrabandeando malware para o seu negócio?

Todos nós conhecemos o SSL, aquele componente essencial do kit criptográfico que protege nossas comunicações on-line. Ele protege as comunicações entre os navegadores que usamos e os servidores onde sites como este estão hospedados. Você reconhecerá um site seguro pelo símbolo do cadeado ou pelo uso de HTTPS no endereço.

E, falando de modo geral, SSL é uma coisa boa. Qualquer transação que envolva informações financeiras, como transações bancárias ou compras on-line, usa SSL para manter suas informações privadas. Mas recentemente houve um esforço para proteger todo o tráfego da Internet com SSL, não apenas o tráfego que contém combinações de nome de usuário/senha ou dados financeiros. Notícias que chamam a atenção, como as revelações sobre a vigilância em massa global de Edward Snowden, significam que mais usuários estão exigindo criptografia online, e os provedores estão felizes em atender.

É por isso que seu uso está aumentando; a maioria dos sites mais populares do mundo, como Google, Amazon e Facebook, agora têm o HTTPS - que fornece criptografia SSL - ativado por padrão em todo o tráfego. Estima-se que até o final de 2015 mais da metade do tráfego de internet do mundo será criptografado. (Isso se deve principalmente à Netflix, que responde por uma grande porcentagem do tráfego da Internet e está migrando para HTTPS.)

Mas, embora não haja dúvidas de que criptografar o tráfego da Internet protegerá mais nossos dados confidenciais, isso na verdade traz riscos maiores para as empresas. Isso ocorre porque muitos dispositivos de segurança empresarial não conseguem detectar o que há no tráfego criptografado, o que significa que o malware pode passar despercebido.

Firewalls, gateways da web, sistemas de prevenção de intrusão e muito mais podem ter dificuldade para detectar malware que chega por meio de tráfego criptografado. Pode ser um pesadelo para as empresas se os criminosos cibernéticos conseguirem esconder malware em uma transação supostamente segura. E isso funciona nos dois sentidos; o malware não só pode chegar sem ser detectado, como também pode enviar informações confidenciais de volta ao seu controlador em uma transação criptografada que a maioria das ferramentas de segurança não detectaria.

Um exemplo disso é o malware bancário Dyre . Segundo relatos , esse malware era capaz de roubar informações antes que a criptografia fosse ativada e enviá-las de volta ao servidor de comando e controle sob o disfarce de tráfego criptografado legítimo. O mais importante é que a sessão parece segura, pois o símbolo do cadeado é exibido, mas, nos bastidores, dados confidenciais estão sendo ocultados.

Na verdade, qualquer site suspeito pode servir como malware drive-by e, se a sessão for criptografada, as ferramentas de segurança não podem determinar qual é o conteúdo real desse tráfego ou para onde ele está indo. Dispositivos como o servidor proxy ou o gateway de filtragem de URL são completamente cegos a isso.

É um problema muito real que as empresas estão enfrentando. Números da Gartner indicam que menos de 20% das organizações que usam firewalls, IPS ou UTM descriptografam o tráfego SSL, o que significa que o malware oculto no tráfego SSL contornaria essas plataformas de segurança. A Gartner também afirma que, até 2017, mais de 50% dos ataques de rede direcionados a empresas usarão SSL para contornar a segurança.

Como as empresas garantem que não serão pegas por malware oculto no tráfego criptografado? A resposta simples seria descriptografar esse tráfego, mas a questão é como fazer isso sem invadir a privacidade ou deixar dados confidenciais abertos a ataques.

Então, torna-se uma questão de saber qual tráfego deve ser descriptografado. Se uma empresa estiver disponibilizando conteúdo para usuários externamente, ela precisará usar algum tipo de dispositivo para descarregar o tráfego SSL do servidor e então inserir proteção no fluxo de tráfego. Isso quebrará o SSL, mas de uma forma inteligente; você não quer descriptografar uma sessão bancária, mas quer descriptografar uma sessão do Facebook.

A segurança precisa ter inteligência para entender para onde o tráfego está indo e então tomar uma decisão sobre se ele deve ser descriptografado ou deixado como está. Ele está quebrando o SSL, mas de uma forma segura e inteligente.