|
Texto Anterior | Próximo Texto | Índice
segurança
Sites tidos como confiáveis podem esconder ameaças
TRAIÇOEIROS >> Em eventos de segurança de dados, especialistas mostram falhas na forma como programas de navegação reconhecem páginas consideradas seguras
JORDAN ROBERTSON
DA ASSOCIATED PRESS
Uma nova e poderosa forma
de ataque via internet funciona
de maneira semelhante a um
grampo telefônico, exceto pelo
fato de ocorrer entre computadores e sites nos quais aqueles
computadores confiam.
As novas ameaças foram reveladas em duas conferências
de especialistas em segurança
eletrônica, a Black Hat e a DefCon, realizadas nos Estados
Unidos no final do mês passado. Há, segundo lá foi demonstrado, uma falha grave no modo
como os programas de navegação na internet bloqueiam sites
não confiáveis e impedem que
os mesmos sejam visitados.
Um criminoso que se infiltrar em uma rede poderá criar
um posto secreto de escuta e
capturar números de cartão de
crédito, senhas e outros dados
sigilosos que passem entre os
computadores daquela rede e
em sites que os navegadores
consideram seguros.
Em uma situação ainda mais
nefasta, um invasor poderia sequestrar o dispositivo de atualização automática do computador de uma vítima e induzi-lo a
instalar automaticamente um
malware. O micro atuaria como
se essa fosse uma atualização
oriunda do fabricante.
O problema está na forma como os navegadores interagem
com os certificados do sistema
de segurança SSL (Security
Socket Layer), uma tecnologia
comum usada em serviços de
banco, comércio eletrônico e
outros sites que trabalham com
dados sigilosos.
Reação
Os fabricantes de navegadores e as empresas que vendem
certificados SSL estão buscando formas de resolver isso.
A Microsoft, cujo navegador
Internet Explorer é o mais popular do mundo, disse estar investigando a questão.
A Mozilla, que fabrica o Firefox, o segundo navegador mais
usado, afirmou que a maioria
dos problemas citados foi solucionada na última versão do
seu navegador e que os demais
serão solucionados em uma
atualização programada para
este mês.
A VeriSign, uma das maiores
empresas certificadoras SSL,
afirma que seus certificados
não são vulneráveis. E adiantou
que o grampo não vai funcionar
contra os certificados chamados Extended Validation SSL
(validação ampliada), que custam mais e envolvem uma inspeção mais aprofundada dos
pedidos das empresas para adquirir o certificado.
Como funciona
Essa forma de ataque é chamada de uma invasão do tipo
man-in-the-middle (intermediário), na qual um criminoso
se coloca entre o computador
de uma vítima e um site legítimo a fim de roubar dados.
Os certificados SSL são uma
tecnologia fundamental se o
objetivo é tornar a web confiável. Os sites compram os certificados a fim de criptografar o
tráfego e garantir aos visitantes
a confidencialidade dos dados
fornecidos.
A presença de um certificado
SSL em um site é determinada
por um cadeado na barra de endereço. Os navegadores são
programados a fim de bloquear
sites que não têm um certificado SSL válido. Quando os sites
não estão bloqueados, os usuários são informados sobre potenciais riscos e podem optar
por não acessá-los.
Os problemas levantados pelos pesquisadores giram em
torno de uma peculiaridade no
modo como os navegadores
leem os certificados SSL.
Muitas empresas certificadoras SSL permitem que as
pessoas insiram dentro do endereço da web presente nos
certificados recebidos um símbolo de programação chamado
caractere nulo. Os navegadores
geralmente ignoram esse símbolo e interrompem exatamente nele a leitura quando estão
vasculhando o endereço da web
constante do certificado.
O truque, na forma mais recente de ataque, é simples. Basta ao criminoso colocar o nome
de um site legítimo antes desse
caractere, e o navegador irá
acreditar que o site visitado
-que está sob controle do hacker- é legítimo.
O criminoso poderia assim
encaminhar o tráfego em direção ao site legítimo e espionar
tudo o que a vítima faz nessa
página. Esse ataque é complicado, mas revela uma fraqueza
importante da tecnologia vastamente usada com a finalidade de garantir a segurança de
pessoas que fornecem a sites
dados sigilosos.
Tradução de
FABIANO FLEURY DE SOUZA CAMPOS
Texto Anterior: Truque: Câmera projeta imagens a dois metros de distância Próximo Texto: Canal aberto - José Antonio Ramalho: Grave vídeos com sua webcam e coloque-os no site YouTube Índice
|