Google lança nova ferramenta de segurança para análise de tráfego de rede.

Google introduziu uma nova ferramenta de segurança para ajudar os desenvolvedores a detectar bugs e falhas de segurança na segurança de tráfego de rede que pode deixar senhas e outras informações sensíveis abertas para bisbilhotar.

A ferramenta de código aberto, apelidado como Nogotofail , foi lançado pela gigante da tecnologia em prol de um número de vulnerabilidades descobertas na implementação da segurança da camada de transporte, desde o mais crítico bug Heartbleed em OpenSSL para o bug gotofail da Apple para a recente POODLE bug na versão SSL 3.

A empresa fez a ferramenta Nogotofail disponível no GitHub, para que assim qualquer um pode testar suas aplicações, contribuir com novas funcionalidades para o projeto, fornecer suporte para mais plataformas, e ajudar a melhorar a segurança da internet.

Android engenheiro de segurança Chad Brubaker disse que o objetivo principal Nogotofail é confirmar que os dispositivos conectados à internet e aplicativos não são vulneráveis ​​para o transporte de segurança de camada (TLS) e Secure Sockets Layer (SSL) questões de criptografia.

A ferramenta de teste de segurança de rede inclui testes para questões de verificação de certificado SSL comum, HTTPS e TLS / SSL vulnerabilidades e erros de configuração de biblioteca, SSL e STARTTLS questões de decapagem, e problemas de tráfego texto claros, e muito mais.

" . O Google se comprometeu a aumentar o uso de TLS / SSL em todas as aplicações e serviços, mas "HTTPS Everywhere" não é suficiente, mas também precisa ser usado corretamente, "Brubaker escreveu em um post de blog .

" A maioria das plataformas e dispositivos têm padrões seguros, mas alguns aplicativos e bibliotecas substituir os padrões para o pior, e em alguns casos que já vimos plataformas cometer erros também. Como os aplicativos se tornam mais complexas, conecte-se mais serviços, e usar mais terceiro bibliotecas do partido, torna-se mais fácil introduzir estes tipos de erros. "

Ferramenta Nogotofail , escrito por engenheiros Android Chad Brubaker, Alex Klyubin e Geremy Condra , funciona em dispositivos rodando Android, iOS, Linux, Windows, o Chrome OS, OS X, e " na verdade qualquer dispositivo que você usa para se conectar à Internet . "O ferramenta pode ser implantado em um roteador, uma máquina Linux, ou um servidor VPN.

A empresa diz que tem vindo a utilizar a ferramenta Nogotofail internamente por " algum tempo "e já trabalhou com os desenvolvedores para melhorar a segurança de seus aplicativos antes de liberá-lo. " Mas queremos que o uso de TLS / SSL para avançar o mais rapidamente possível ", disse Brubaker.

A ferramenta Nogotofail requer Python 2.7 e pyOpenSSL> = 0,13 . Possui uma rede on-caminho Man-in-the-Middle (MITM), projetado para funcionar em máquinas Linux, bem e clientes opcionais para os dispositivos que estão sendo testados.