Análise HTTPS – Porque deve estar ativada na Sophos

Com o tema da “encriptação” passa-se algo curioso: não têm também a sensação de que se ouve falar disso constantemente, até se discute o assunto com alguma frequência, mas a sua disseminação avança mais devagar do que depressa? Com o projecto “Let’s Encrypt”, a comunicação encriptada na Internet entre um site e um visitante recebeu, pelo menos, um grande impulso. Graças a certificados SSL gratuitos, o “Let’s Encrypt” pretende tornar a ligação encriptada no novo padrão.

Neste artigo de blog quero mostrar o que isso significa para a vossa Sophos Firewall, quando, de repente, a maioria do tráfego Web passa a estar encriptado.

Os primórdios de “https://”

Recue mos alguns anos na história e vejamos como se desenrolou toda a evolução rumo a “https://” na Internet. Com a Avanet, vivemos grande parte desta fase com contributos da Google. Por isso, peço desde já desculpa pelo facto de a pequena linha temporal seguinte ser também bastante “Google-centric”.

• 2010 - Google verschlüsselt Suchanfragen (BETA)
• 2011 - YouTube wird standardmässig verschlüsselt
• 2013 - Edward Snowden diz que uma boa encriptação é segura
• 2013 - (Março) A pesquisa Google passa a estar encriptada por omissão
• 2014 - A Google passa a favorecer páginas HTTPS e a posicioná-las melhor para incentivar a migração
• 2015 - (03.12.2015) O Let’s Encrypt entra em fase beta pública, aberta a todos
• 2016 - (09.03.2016) O Let’s Encrypt já emitiu 1 milhão de certificados
• 2016 - (13.04.2016) O Let’s Encrypt termina a fase beta
• 2016 - (16.10.2016) A encriptação HTTPS na Web atinge, pela primeira vez, 50 por cento
• 2017 - (24.10.2017) 71 dos 100 sites mais visitados utilizam HTTPS
• 2018 - (Fevereiro) 81 dos 100 principais sites na Web utilizam HTTPS por omissão

1,7 milhões de certificados para mais de 3,8 milhões de sites.

Do nosso ponto de vista, a Google contribuiu de forma decisiva, com o seu peso enquanto gigante da pesquisa, para que os administradores de sites passassem cada vez mais a equipar as suas páginas com um certificado SSL. Com a afirmação de que, no futuro, as ligações encriptadas também teriam impacto no ranking de um site, ficou-se praticamente “obrigado” a criar um certificado SSL. Graças ao Let’s Encrypt, isso passou a ser possível até de forma gratuita.

* Naturalmente, também já experimentámos o “Let’s Encrypt” nós próprios. Desde Janeiro de 2016 que este blog está equipado com um certificado Let’s Encrypt.

Encriptação e segurança

O gráfico anterior, por si só, já mostra claramente que os sites encriptados deverão, muito provavelmente, tornar-se o padrão no futuro. À partida, isso é algo positivo, certo? Sim e não. Para um visitante, é obviamente óptimo quando a comunicação entre ele e o site a que acede está encriptada. Especialmente em lojas online, onde é necessário transmitir dados sensíveis, isso gera naturalmente confiança adicional. Para a vossa firewall, que pretende analisar o tráfego para detectar software malicioso, isto já não é assim tão ideal do ponto de vista da segurança.

Uma firewall “normal” não consegue inspeccionar tráfego encriptado.

Evitar o “voo às cegas” da vossa Sophos

Ora, uma firewall SOPHOS não é uma firewall “normal”. 🙂 Alguns de vocês saberão, certamente, que a UTM já consegue inspeccionar ligações SSL há bastante tempo. O pré-requisito é, naturalmente, uma licença válida para Web Protection.

Ainda assim, continuamos a encontrar relativamente poucas configurações em que esta funcionalidade esteja efectivamente activada. A desvantagem é que todo o tráfego HTTPS deixa de ser analisado à procura de software malicioso, e também as ligações a botnets passam despercebidas através da UTM. Isto aplica-se tanto à UTM como à XG. Neste ponto, só podemos recomendar que activem o HTTPS-Scanning na vossa SOPHOS.

Exemplo prático

Para terminar, vejamos rapidamente como se apresenta, na prática, o tráfego HTTPS. Numa das firewalls de um dos nossos clientes, o cenário é, por exemplo, o seguinte:

Como administro já diversas firewalls, posso confirmar que, em alguns casos, o tráfego HTTPS é efectivamente predominante. Claro que isso depende da empresa e do respectivo padrão de navegação. Em resumo, posso dizer que o tráfego HTTPS, em todas as firewalls que analisámos, se situa em média acima dos 30%. Isto significa que, sem HTTPS-Scanning, quase um terço do tráfego passaria pela firewall sem qualquer análise.

Numa época em que o ransomware se esconde em código JavaScript de sites comprometidos, é simplesmente obrigatório tirar partido de todas as capacidades da firewall. Verifiquem, por isso, se colocam os seguintes pontos na vossa lista de tarefas:

• Activar HTTPS-Scanning
• Utilizar Sandboxing (Sophos Sandstorm)
• Utilizar Antivirus com HIPS e Malicious Traffic Detection
• Formar os utilizadores de forma abrangente

Conclusão

Se antigamente era raro os sites estarem equipados com um certificado SSL, hoje, graças ao Let’s Encrypt, é extremamente simples e, além disso, gratuito emitir um certificado para si próprio. As estatísticas mostram claramente que, no futuro, provavelmente só haverá tráfego Web encriptado. Recomendamos, por isso, vivamente que activem e configurem o HTTPS-Scanning na UTM ou na XG.

O tempo não pára e, precisamente aqui, volta a notar-se muito bem que uma firewall não pode simplesmente ficar cinco anos encostada a um canto sem lhe mexer. Uma manutenção regular e revisões ocasionais são absolutamente indispensáveis para estar preparado para novas ameaças.