Social Icons

twitterfacebookgoogle plusrss feedemail

terça-feira, 13 de janeiro de 2009

Descoberta fragilidade no sistema de certificação digital da Internet

Pesquisadores independentes, trabalhando nos Estados Unidos, na Holanda e na Suíça, descobriram uma fragilidade no sistema de certificação digital da Internet que permite que invasores forjem certificados que são integralmente aceitos por todos os navegadores mais utilizados no mercado.

Certificação digital de sites

Esses certificados digitais forjados permitem aos criminosos validar seus sites maliciosos, fazendo-os parecer seguros e confiáveis, quando na verdade são meras fontes de ataques aos visitantes.

Quando você visita um site cujo endereço começa com https, um pequeno cadeado fechado é mostrado em seu navegador, indicando que aquele site é seguro, graças a um certificado emitido por algumas poucas Autoridades de Certificação.

Para garantir que o certificado apresentado pelo site é legítimo, o navegador verifica a assinatura digital do site utilizando algoritmos de criptografia tradicionalmente aceitos e reconhecidos como seguros.

Falhas do algoritmo MD5

O que os pesquisadores descobriram é que um desses algoritmos, conhecido como MD5, pode ser enganado.

A primeira fragilidade significativa do MD5 foi apresentada em 2004 por um grupo de pesquisadores chineses, que usaram um "ataque de colisão" para criar duas mensagens diferentes com a mesma assinatura digital. Em 2007, outro grupo de pesquisadores demonstrou que uma outra forma de colisão dava ainda mais liberdade aos atacantes.

Agora, esse mesmo grupo de pesquisadores descobriu que é possível criar uma Autoridade de Certificação falsa, permitindo a validação de virtualmente qualquer site. O ataque utilizou uma variação da técnica de colisão rodando em um cluster de 200 consoles de videogame.

Ataques de phishing

Uma Autoridade de Certificação falsa, em conjunto com uma fragilidade largamente conhecida do sistema DNS (que faz a "tradução" dos nomes dos sites em endereços IP), abre caminho para os ataques do tipo phishing, em que um site falso aparece para o usuário exatamente como se fosse o site verdadeiro de um banco ou de um empresa de comércio eletrônico.

Os pesquisadores já alertaram as empresas responsáveis pela programação dos principais navegadores do mercado, que se comprometeram a tomar medidas para aumentar a proteção dos seus usuários.

Segundo os descobridores da fragilidade, é imperativo que os navegadores e as Autoridades de Certificação parem de usar o MD5 e migrem para sistemas de criptografia mais robustos.


Fonte: Inovação Tecnológica