Falha permite criação de phishing 'perfeito' com certificado digital falso

São Francisco - Vulnerabilidade permite que criminosos criem certificados falsos que são vistos como verdadeiros pela maioria dos navegadores.

Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet.

A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.

O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.

O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.

Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.

Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.

Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.

Os resultados foram apresentados no congresso de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de especialistas do centro Wiskunde e Informatica (CWI) e na Universidade de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

Fonte: Robert McMillan, editor do IDG News Service, de São Francisco (IDG Now!)

Quem compreende a certificação digital sabe que esta é uma falha grave, mas não é inesperada. O que garante a segurança na certificação digital é, principalmente, a dificuldade em se quebrar o algoritmo que gera a criptografia. Infelizmente, com o avanço do poder de processamento dos computadores (especialmente com o anúncio da computação quântica), tais algoritmos terão que ser cada vez mais difíceis de serem quebrados, num processo que não tem fim, ou seja, sempre se estará desenvolvendo algoritmos mais fortes conforme o poder de processamento dos computadores aumente. Isso não desqualifica a certificação digital como um meio seguro de se realizar transações pela Internet.

É sabido que nenhum sistema é inviolável, mas o que se pode hoje é dificultar a vida dos crackers na exata medida do grau de importância da informação que se tenta proteger. Logo, quanto mais importante a informação, mais potente será o algoritmo que a protege. Por exemplo, no caso do MD5 da notícia, não é de se admirar que continue sendo usado para proteger dados de menos importância.