terça-feira, 6 de janeiro de 2009

Falha no HTTPS?

Falha de certificação digital pode criar ataques de phishing ‘perfeitos’

(http://computerworld.uol.com.br/seguranca/2009/01/02/falha-de-certificacao-digital-pode-criar-ataques-de-phishing-2018perfeitos2019)
Por Redação do COMPUTERWORLD
Publicada em 02 de janeiro de 2009 - 11h56
Atualizada em 02 de janeiro de 2009 - 11h57
Vulnerabilidade permite que criminosos digitais criem certificados falsos que são vistos como verdadeiros pela maioria dos navegadores.
-->Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet. A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.
O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.
O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.
Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.
Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.
Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.
Os resultados foram apresentados no congresso de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de especialistas do centro Wiskunde e Informatica (CWI) e na Universidade de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

Reações:

0 comentários: