JORDAN ROBERTSON
da Folha de S.Paulo
Uma nova e poderosa forma de ataque via internet funciona de maneira
semelhante a um grampo telefônico, exceto pelo fato de ocorrer entre
computadores e sites nos quais aqueles computadores confiam.
As novas ameaças foram reveladas em duas conferências de
especialistas em segurança eletrônica, a Black Hat e a DefCon,
realizadas nos Estados Unidos no final do mês passado. Há, segundo lá
foi demonstrado, uma falha grave no modo como os programas de navegação
na internet bloqueiam sites não confiáveis e impedem que os mesmos
sejam visitados.
Um criminoso que se infiltrar em uma rede poderá criar um posto
secreto de escuta e capturar números de cartão de crédito, senhas e
outros dados sigilosos que passem entre os computadores daquela rede e
em sites que os navegadores consideram seguros.
Em uma situação ainda mais nefasta, um invasor poderia sequestrar o
dispositivo de atualização automática do computador de uma vítima e
induzi-lo a instalar automaticamente um malware. O micro atuaria como
se essa fosse uma atualização oriunda do fabricante.
O problema está na forma como os navegadores interagem com os
certificados do sistema de segurança SSL (Security Socket Layer), uma
tecnologia comum usada em serviços de banco, comércio eletrônico e
outros sites que trabalham com dados sigilosos.
Reação
Os fabricantes de navegadores e as empresas que vendem certificados SSL estão buscando formas de resolver isso.
A Microsoft, cujo navegador Internet Explorer é o mais popular do mundo, disse estar investigando a questão.
A Mozilla, que fabrica o Firefox, o segundo navegador mais usado,
afirmou que a maioria dos problemas citados foi solucionada na última
versão do seu navegador e que os demais serão solucionados em uma
atualização programada para este mês.
A VeriSign, uma das maiores empresas certificadoras SSL, afirma que
seus certificados não são vulneráveis. E adiantou que o grampo não vai
funcionar contra os certificados chamados Extended Validation SSL
(validação ampliada), que custam mais e envolvem uma inspeção mais
aprofundada dos pedidos das empresas para adquirir o certificado.
Como funciona
Essa forma de ataque é chamada de uma invasão do tipo
man-in-the-middle (intermediário), na qual um criminoso se coloca entre
o computador de uma vítima e um site legítimo a fim de roubar dados.
Os certificados SSL são uma tecnologia fundamental se o objetivo é
tornar a web confiável. Os sites compram os certificados a fim de
criptografar o tráfego e garantir aos visitantes a confidencialidade
dos dados fornecidos.
A presença de um certificado SSL em um site é determinada por um
cadeado na barra de endereço. Os navegadores são programados a fim de
bloquear sites que não têm um certificado SSL válido. Quando os sites
não estão bloqueados, os usuários são informados sobre potenciais
riscos e podem optar por não acessá-los.
Os problemas levantados pelos pesquisadores giram em torno de uma
peculiaridade no modo como os navegadores leem os certificados SSL.
Muitas empresas certificadoras SSL permitem que as pessoas insiram
dentro do endereço da web presente nos certificados recebidos um
símbolo de programação chamado caractere nulo. Os navegadores
geralmente ignoram esse símbolo e interrompem exatamente nele a leitura
quando estão vasculhando o endereço da web constante do certificado.
O truque, na forma mais recente de ataque, é simples. Basta ao
criminoso colocar o nome de um site legítimo antes desse caractere, e o
navegador irá acreditar que o site visitado -que está sob controle do
hacker- é legítimo.
O criminoso poderia assim encaminhar o tráfego em direção ao site
legítimo e espionar tudo o que a vítima faz nessa página. Esse ataque é
complicado, mas revela uma fraqueza importante da tecnologia vastamente
usada com a finalidade de garantir a segurança de pessoas que fornecem
a sites dados sigilosos.
da Folha de S.Paulo
Uma nova e poderosa forma de ataque via internet funciona de maneira
semelhante a um grampo telefônico, exceto pelo fato de ocorrer entre
computadores e sites nos quais aqueles computadores confiam.
As novas ameaças foram reveladas em duas conferências de
especialistas em segurança eletrônica, a Black Hat e a DefCon,
realizadas nos Estados Unidos no final do mês passado. Há, segundo lá
foi demonstrado, uma falha grave no modo como os programas de navegação
na internet bloqueiam sites não confiáveis e impedem que os mesmos
sejam visitados.
Reprodução |
Site da DefCon, cuja especialidade é segurança de dados; sites tidos como confiáveis podem esconder perigos e ameaças |
Um criminoso que se infiltrar em uma rede poderá criar um posto
secreto de escuta e capturar números de cartão de crédito, senhas e
outros dados sigilosos que passem entre os computadores daquela rede e
em sites que os navegadores consideram seguros.
Em uma situação ainda mais nefasta, um invasor poderia sequestrar o
dispositivo de atualização automática do computador de uma vítima e
induzi-lo a instalar automaticamente um malware. O micro atuaria como
se essa fosse uma atualização oriunda do fabricante.
O problema está na forma como os navegadores interagem com os
certificados do sistema de segurança SSL (Security Socket Layer), uma
tecnologia comum usada em serviços de banco, comércio eletrônico e
outros sites que trabalham com dados sigilosos.
Reação
Os fabricantes de navegadores e as empresas que vendem certificados SSL estão buscando formas de resolver isso.
A Microsoft, cujo navegador Internet Explorer é o mais popular do mundo, disse estar investigando a questão.
A Mozilla, que fabrica o Firefox, o segundo navegador mais usado,
afirmou que a maioria dos problemas citados foi solucionada na última
versão do seu navegador e que os demais serão solucionados em uma
atualização programada para este mês.
A VeriSign, uma das maiores empresas certificadoras SSL, afirma que
seus certificados não são vulneráveis. E adiantou que o grampo não vai
funcionar contra os certificados chamados Extended Validation SSL
(validação ampliada), que custam mais e envolvem uma inspeção mais
aprofundada dos pedidos das empresas para adquirir o certificado.
Como funciona
Essa forma de ataque é chamada de uma invasão do tipo
man-in-the-middle (intermediário), na qual um criminoso se coloca entre
o computador de uma vítima e um site legítimo a fim de roubar dados.
Os certificados SSL são uma tecnologia fundamental se o objetivo é
tornar a web confiável. Os sites compram os certificados a fim de
criptografar o tráfego e garantir aos visitantes a confidencialidade
dos dados fornecidos.
A presença de um certificado SSL em um site é determinada por um
cadeado na barra de endereço. Os navegadores são programados a fim de
bloquear sites que não têm um certificado SSL válido. Quando os sites
não estão bloqueados, os usuários são informados sobre potenciais
riscos e podem optar por não acessá-los.
Os problemas levantados pelos pesquisadores giram em torno de uma
peculiaridade no modo como os navegadores leem os certificados SSL.
Muitas empresas certificadoras SSL permitem que as pessoas insiram
dentro do endereço da web presente nos certificados recebidos um
símbolo de programação chamado caractere nulo. Os navegadores
geralmente ignoram esse símbolo e interrompem exatamente nele a leitura
quando estão vasculhando o endereço da web constante do certificado.
O truque, na forma mais recente de ataque, é simples. Basta ao
criminoso colocar o nome de um site legítimo antes desse caractere, e o
navegador irá acreditar que o site visitado -que está sob controle do
hacker- é legítimo.
O criminoso poderia assim encaminhar o tráfego em direção ao site
legítimo e espionar tudo o que a vítima faz nessa página. Esse ataque é
complicado, mas revela uma fraqueza importante da tecnologia vastamente
usada com a finalidade de garantir a segurança de pessoas que fornecem
a sites dados sigilosos.