O emissor de certificado digital Comodo liberou, nesta semana, um alerta de segurança de que sua afiliada europeia havia emitido nove certificados SSL fraudulentos. Os certificados – usados por sites para confirmar a identidade de usuários finais – foram emitidos sem validação suficiente e foram aparentemente obtidos pelo governo do Irã.
Todos os certificados foram revogados pela empresa. Eles envolvem sete domínios: extensões do Firefox (addons.mozilla.org), Global Trustee, Gmail (mail.google.com), Google (www.google.com), Skype (login.skype.com), Windows Live, incluindo o Hotmail (login.live.com), e Yahoo (login.yahoo.com – três certificados).
A Microsoft disse que como resultado do certificado SSL fraudulento havia atualizado o Windows para prevenir que ele fosse usado. E ainda afirmou que os “navegadores que permitiram o Online Certificate Status Protocol (OCSP) irão de modo interativo validar esses certificados e bloqueá-los para que não sejam usados”.
De acordo com a Microsoft, “estes certificados podem ser usados para falsificar conteúdos, realizar ataques de roubo de identidade, ou realizar ataques contra os usuários de navegadores de rede, incluindo os usuários do Internet Explorer”.
Ou ainda recolher informações. “Se você for um governo capaz de controlar o roteamento da internet em seu país, pode redirecionar todos – digamos – usuários do Skype para um falso endereço https://login.skype.com e coletar seus nomes de usuários e senhas, independentemente da criptografia SSL estar funcionando”, disse Mikko Hypponen, chefe de pesquisa da F-Secure, em um post no blog oficial da companhia.
Quem tentaria obter certificados fraudulentos? Comodo afirma que indícios apontam para uma operação apoiada pelo Irã, devido à velocidade e precisão da operação, bem como o foco. “O autor se concentrou apenas na infraestrutura de comunicação – não na infraestrutura financeira como um típico criminoso cibernético faria”, de acordo com o relatório de incidente da empresa.
(Tradução: Alba Milena | Edição: Thaís Sabatini)
Saiba mais:
Especial Dilemas da Segurança: Os desafios da TI para blindar legalmente a empresa
TI diz que web 2.0 mina segurança corporativa
ð Você tem Twitter? Então, siga http://twitter.com/IT_Web e fique por dentro das principais notícias de TI e telecom.
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…