Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet. A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras. […]
Um time
de pesquisadores revelou uma falha crítica na
infra-estrutura de certificação digital da internet.
A falha atinge os domínios https,
considerados mais seguros por serem criptografados e exigirem certificados
digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança
ao verificar que o site possui um certificado digital concedido pelas autoridades
certificadoras.
O navegador consegue garantir que o
certificado digital do site é legítimo ao analisá-lo com algoritmos de
criptografia.
O que os pesquisadores descobriram é que um
desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso
significa que o navegador pode falar que o site é legítimo quando ele se trata
de uma cópia. O time conseguiu, também, criar uma autoridade certificadora
falsa. Assim, a AC daria certificados digitais que seriam aceitos como
verdadeiros pela maioria dos navegadores.
Ao usar a AC falsa, aproveitando da falha do
algoritmo MD5, os crackers podem usar a conhecida falha
do DNS (sistema de nome de domínios da internet) para criar ataques de
phishing impossíveis de identificar.
Se um usuário acessa o site do banco ao
qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado
que aparenta ser idêntico ao original. Além disso, o navegador receberia um
certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos
dos usuários seriam enviados diretamente para as mãos dos criminosos.
Por conta da descoberta, os pesquisadores
defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia
seguro para uso em assinatura e certificados digitais.
Os resultados foram apresentados no congresso
de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time
de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de
especialistas do centro Wiskunde e Informatica (CWI) e na Universidade
de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.
