Descoberta fragilidade no sistema de certificação digital da Internet
Redação do Site Inovação Tecnológica - 13/01/2009
Pesquisadores independentes, trabalhando nos Estados Unidos, na Holanda e na Suíça, descobriram uma fragilidade no sistema de certificação digital da Internet que permite que invasores forjem certificados que são integralmente aceitos por todos os navegadores mais utilizados no mercado.
Certificação digital de sites
Esses certificados digitais forjados permitem aos criminosos validar seus sites maliciosos, fazendo-os parecer seguros e confiáveis, quando na verdade são meras fontes de ataques aos visitantes.
Quando você visita um site cujo endereço começa com https, um pequeno cadeado fechado é mostrado em seu navegador, indicando que aquele site é seguro, graças a um certificado emitido por algumas poucas Autoridades de Certificação.
Para garantir que o certificado apresentado pelo site é legítimo, o navegador verifica a assinatura digital do site utilizando algoritmos de criptografia tradicionalmente aceitos e reconhecidos como seguros.
Falhas do algoritmo MD5
O que os pesquisadores descobriram é que um desses algoritmos, conhecido como MD5, pode ser enganado.
A primeira fragilidade significativa do MD5 foi apresentada em 2004 por um grupo de pesquisadores chineses, que usaram um "ataque de colisão" para criar duas mensagens diferentes com a mesma assinatura digital. Em 2007, outro grupo de pesquisadores demonstrou que uma outra forma de colisão dava ainda mais liberdade aos atacantes.
Agora, esse mesmo grupo de pesquisadores descobriu que é possível criar uma Autoridade de Certificação falsa, permitindo a validação de virtualmente qualquer site. O ataque utilizou uma variação da técnica de colisão rodando em um cluster de 200 consoles de videogame.
Ataques de phishing
Uma Autoridade de Certificação falsa, em conjunto com uma fragilidade largamente conhecida do sistema DNS (que faz a "tradução" dos nomes dos sites em endereços IP), abre caminho para os ataques do tipo phishing, em que um site falso aparece para o usuário exatamente como se fosse o site verdadeiro de um banco ou de um empresa de comércio eletrônico.
Os pesquisadores já alertaram as empresas responsáveis pela programação dos principais navegadores do mercado, que se comprometeram a tomar medidas para aumentar a proteção dos seus usuários.
Segundo os descobridores da fragilidade, é imperativo que os navegadores e as Autoridades de Certificação parem de usar o MD5 e migrem para sistemas de criptografia mais robustos.
 |
 |
 |
Computação quântica na nuvem também tem garantia de segurança
Sensor de luz ambiente dos celulares pode espionar você
Descoberta primeira vulnerabilidade da criptografia quântica
Espionagem via hardware pode ser evitada com spintrônica
Cromocriptografia codifica segredos usando cores
Canais de dados quânticos e clássicos fluem pela mesma fibra óptica
Bateria de ferro totalmente líquida armazena energias renováveis
Bateria de íons de sódio recarrega em segundos
Intel apresenta maior computador neuromórfico inspirado no cérebro
Criados bits quânticos que mantém dados à temperatura ambiente
Levitação magnética poderá viabilizar tecnologias antigravitacionais?
Detectada onda gravitacional que pode ajudar a resolver mistério cósmico
Melhor rota para naves espaciais é traçada com teoria dos nós
Revolucionário: Luz gera magnetismo em material isolante
Único no mundo, chip que funciona com luz é lançado industrialmente
Resolvido antigo mistério sobre a formação dos cristais
Todos os direitos reservados.
É proibida a reprodução total ou parcial, por qualquer meio, sem prévia autorização por escrito.