Mito 3: Uso de SSL resolve

Meu website é seguro porque utiliza SSL e Criptografia de Dados

O Secure Sockets Layer (SSL) é um protocolo desenvolvido originalmente pela Netscape para transmitir dados em formato texto entre um servidor web e um navegador de forma segura.

Através de rotinas de criptografia, o SSL codifica e decodifica os dados que circulam entre o Cliente e o Servidor Web usando uma chave privada e uma chave pública obtidos a partir de um Certificado Digital emitido por uma entidade oficial, protegendo assim os dados durante o fluxo de navegação pela aplicação.

O SSL é utilizado em conjunto com o protocolo Secure HTTP, que garante a transmissão segura de informações individuais, e ambos são adotados tanto pela Netscape como pela Microsoft e outros produtos como um padrão aprovado pelo Internet Engineering Task Force (IETF).

O uso destes protocolos é identificado pelo famoso cadeado amarelo e pela sigla “https://” na barra de endereço do navegador web, mas este recurso apenas protege a confidencialidade e integridade dos dados durante uma conexão estabelecida entre um cliente e um servidor web.

Não há como o SSL proteger 100% do ambiente da aplicação web, e evitar, por exemplo, que na camada da aplicação haja vulnerabilidades exploráveis a partir de comandos enviados pelo navegador (injeção de SQL), ou que os dados entregues ao servidor não possam ser acessados por outros meios na rede.

Além disso, existem vários relatos de ataques em sites com SSL e Certificados Digitais, entre eles o típico Cross Site Script (XSS) que permite ao Agente Malicioso interromper e desviar a conexão de um usuário para outro servidor web, criando assim um cenário de ataque crítico.

Em alguns casos de ataques mais elaborados a seção entre o Cliente e Servidor Oficial é interceptada por um Agente Malicioso, que envia um certificado ao Cliente de um lado, e ao Servidor de outro, enquanto intercepta os dados criptografados, decodifica-os, modifica-os, e re-envia a cada um dos lados (man in the midle).

Também já houve o relato de roubo de Certificados Digitais válidos, pertencentes a alguns dos maiores sites Web, incluindo a Google, Microsoft, Skype e Yahoo, e que foram obtidos diretamente de uma Entidade Certificadora. Nestes casos o uso de SSL permite elaborar ataques ainda mais graves.

O fato é que não há garantia de segurança com uso de SSL quando a aplicação web apresentar algumas vulnerabilidades exploráveis em seu ciclo de vida, algumas desde o seu desenvolvimento.

Por isso, mais importante que usar o Certificados Digitas e Criptografia dos dados (SSL), ou todas as demais ações de segurança recomendadas para a infraestrutura e o acesso aos dados, é imprescindível monitorar, identificar, e eliminar em tempo hábil as vulnerabilidades que surgirem nas aplicações web.