Um time
de pesquisadores revelou uma falha crítica na
infra-estrutura de certificação digital da internet.
A falha atinge os domínios https,
considerados mais seguros por serem criptografados e exigirem certificados
digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança
ao verificar que o site possui um certificado digital concedido pelas autoridades
certificadoras.
O navegador consegue garantir que o
certificado digital do site é legítimo ao analisá-lo com algoritmos de
criptografia.
O que os pesquisadores descobriram é que um
desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso
significa que o navegador pode falar que o site é legítimo quando ele se trata
de uma cópia. O time conseguiu, também, criar uma autoridade certificadora
falsa. Assim, a AC daria certificados digitais que seriam aceitos como
verdadeiros pela maioria dos navegadores.
Ao usar a AC falsa, aproveitando da falha do
algoritmo MD5, os crackers podem usar a conhecida falha
do DNS (sistema de nome de domínios da internet) para criar ataques de
phishing impossíveis de identificar.
Se um usuário acessa o site do banco ao
qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado
que aparenta ser idêntico ao original. Além disso, o navegador receberia um
certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos
dos usuários seriam enviados diretamente para as mãos dos criminosos.
Por conta da descoberta, os pesquisadores
defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia
seguro para uso em assinatura e certificados digitais.
Os resultados foram apresentados no congresso
de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time
de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de
especialistas do centro Wiskunde e Informatica (CWI) e na Universidade
de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…