Proliferação de "autoridades certificadoras" dificulta garantia de privacidade na rede, alertam pesquisadores

Páginas "seguras" no browser podem permitir monitoramento de atividades; fabricantes citam novo certificado

MIGUEL HELFT
DO "NEW YORK TIMES"

Pesquisadores em segurança de computadores estão alertando sobre as vulnerabilidades existentes em algumas das áreas mais seguras da internet: sites de bancos, e-commerce e outros que usam criptografia para se comunicar com seus usuários.
Esses sites, normalmente identificados por um cadeado fechado em alguma parte do navegador, dependem de uma terceira parte, que emite um certificado garantindo a autenticidade de um site.
O poder de nomear autoridades certificadoras tem sido delegado por fabricantes de navegadores como a Microsoft, a Mozilla, o Google, a Apple e a Verizon. Essas entidades, por sua vez, têm certificado outras empresas, criando uma proliferação de "autoridades certificadoras", de acordo com pesquisadores de segurança na internet.
O fenômeno torna cada vez mais difícil garantir que não há uso indevido dos certificados a fim de rastrear as atividades dos usuários na rede, dizem especialistas.

RÚSSIA E CHINA
Segundo a Electronic Frontier Foundation, mais de 650 organizações podem emitir certificados que serão aceitos pelo Internet Explorer, da Microsoft, e pelo Mozilla Firefox, os dois navegadores mais populares da web.
Algumas delas estão em países como a Rússia e a China, suspeitos de estarem envolvidos no monitoramento generalizado de seus cidadãos.
Segundo Peter Eckersley, tecnólogo e diretor sênior da Electronic Frontier Foundation, o exemplo mais evidente dos frágeis elos dessa sequência de operações é a Etisalat, uma operadora móvel nos EAU (Emirados Árabes Unidos), que ele afirma estar envolvida na disputa entre a fabricante do BlackBerry, a RIM, e esse país. Os EAU ameaçaram interromper alguns serviços do BlackBerry porque a RIM se recusa a oferecer-lhes um sistema de vigilância "porta dos fundos" dos dados transmitidos por seus usuários.
Eckersley também disse que a Etisalat é responsável por ter instalado spyware em cerca de 100 mil BlackBerrys no ano passado. A RIM disponibilizou posteriormente atualizações capazes de remover o código malicioso.
Em uma carta aberta assinada por Eckersley, a Electronic Frontier Foundation pede à Verizon, empresa responsável por ter conferido à Etisalat o poder de certificar sites, para considerar a possibilidade de anulação desse direito. A Verizon não quis comentar o assunto, e a Etisalat não respondeu a um e-mail que solicitava explicações sobre o caso.
Johnathan Nightingale, diretor da Mozilla no desenvolvimento do Firefox, afirmou que muitos sites de e-commerce têm usado um novo tipo de certificado que demandou extensa verificação.
Se uma autoridade certificadora estivesse usando impropriamente o seu poder para fins de rastreamento, um usuário com conhecimentos técnicos seria capaz de detectar o ataque, e o poder da empresa de emitir certificados seria revogado, disse ele.