Home > Notícias

Bug em certificação digital pode criar ataques de phishing ‘perfeitos’

Falha permite que crackers criem certificados falsos, mas tido como verdadeiros pela maioria dos navegadores.

Redação do COMPUTERWORLD

02/01/2009 às 11h55

Foto:

Um time
de pesquisadores
revelou uma falha crítica na
infra-estrutura de certificação digital da internet.

A falha atinge os domínios https,
considerados mais seguros por serem criptografados e exigirem certificados
digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança
ao verificar que o site possui um certificado digital concedido pelas autoridades
certificadoras.

O navegador consegue garantir que o
certificado digital do site é legítimo ao analisá-lo com algoritmos de
criptografia.

O que os pesquisadores descobriram é que um
desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso
significa que o navegador pode falar que o site é legítimo quando ele se trata
de uma cópia. O time conseguiu, também, criar uma autoridade certificadora
falsa. Assim, a AC daria certificados digitais que seriam aceitos como
verdadeiros pela maioria dos navegadores.

Ao usar a AC falsa, aproveitando da falha do
algoritmo MD5, os crackers podem usar a conhecida falha
do DNS
(sistema de nome de domínios da internet) para criar ataques de
phishing impossíveis de identificar.

Se um usuário acessa o site do banco ao
qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado
que aparenta ser idêntico ao original. Além disso, o navegador receberia um
certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos
dos usuários seriam enviados diretamente para as mãos dos criminosos.

Por conta da descoberta, os pesquisadores
defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia
seguro para uso em assinatura e certificados digitais.

Os resultados foram apresentados no congresso
de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time
de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de
especialistas do centro
Wiskunde e Informatica (CWI) e na Universidade
de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

Tags

Junte-se a nós e receba nossas melhores histórias de tecnologia. Newsletter por e-mail Newsletter por e-mail