Quão vulneráveis são as empresas aos malwares no estilo Flame? Este aplicativo malicioso foi capaz de falsificar um certificado digital legítimo da Microsoft e o usou para instalar cópias de si mesmo nos computadores-alvo. Os autores da ameaça criaram uma função hash de criptografia MD5 para, essencialmente, tornarem-se um “God Mode”, ou Modo Deus, no Windows.
Curta, no Facebook, a Fan Page do IT Web
“A Microsoft usa esse certificado em três lugares: servidor Windows Update, para licenciamento e para inscrição de código”, afirmou Jeff Hudson, CEO da empresa de gerenciamento de senhas e certificados Venafi. “Isso permitiu que o invasor usasse um ataque de colisão MD5 para criar o que algumas pessoas da imprensa chamaram de certificado digital ‘evil twin’ [irmão gêmeo do mal]”.
Mas o problema não é com MD5, que sofreu o primeiro “crack” por pesquisadores em 2008, é com a própria fabricante. Em 2008, por meio de seu site TechNet, a Microsoft começou a incitar os usuários a utilizar o MD5, em vez de adotar o algoritmo de codificação SHA1, que é mais seguro.
Em outras palavras, a empresa falhou em observar seus próprios alertas sobre o MD5. Ela não está sozinha no uso do MD5. Segundo a Venafi, cerca de um quarto das duas mil maiores empresas do mundo usam inscrições de certificados do tipo.
Com a chegada do Flame, a Microsoft marcou o certificado ruim e atualizou o Windows para ajudar a prevenir ataques futuros. Mas o ataque mostra que todas as empresas precisam substituir seus certificados MD5, especialmente após a observação de Hudson de que certificados digitais são usados por empresas para assegurar a proteção de dados sensíveis, que envolvem “identidade, gerenciamento de acesso, autenticação e segredos” do negócio.
Ferramenta gratuita
Na semana passada, a Venafi lançou uma ferramenta gratuita, a MD5 Certificate Assessor, que pode ser usada para catalogar todos os certificados digitais em uso em uma rede corporativa, destacando os que usam a assinatura MD5, detalhando o certificate authority (CA) de cada certificado e identificando quaisquer senhas que não esteja em conformidade. A eliminação do MD5 nas empresas é prioridade porque, apesar de o Flame ter tido como alvo primário o Irã, Líbano e Síria, suas técnicas de ataque podem ser copiadas por outros.
“Cibercriminosos são supercriativos, financeiramente organizados e altamente motivados a roubar informações confidenciais. Organizações que querem reduzir riscos precisam fazer o possível para fechar as portas”, afirmou Eric Ogren, analista da Ogren Group. “Ferramentas gratuitas como essa fornecida pela Venafi para rastreamento de certificados podem fornecer uma vantagem e manter a empresa um passo à frente do invasor”, adicionou.
E o que as empresas deveriam usar no lugar dos certificados MD5? O ideal seria escolher um dos algoritmos hash SHA1 ou SHA2.
Mas quando usar o SHA1 ou SHA2, tenha o cuidado de implantar uma senha forte e longa. “O Nist [ sigla em inglês para The National Institute of Standards and Technology] avisou que chave 1.024-bit é passível de ser quebrada, teoricamente” afirmou Hudson. Em sua recomendação de gerenciamento de senhas, o instituto afirma que a chave de 1.024-bit deve ser abandonada e substituída pela de 2048-bit, que não deve ser vulnerável até 2030. Mas alguns especialistas recomendam chaves de proteção root ou contas com codificação de 4.096-bit, porque segundo Hudson, “se você quebra o root… atinge tudo”.
Atualmente, muitas empresas não usam os certificados digitais corretamente: “Achamos algumas coisas incríveis, como senhas de 512 bits, certificados autoassinados e até pior. Muitas vezes no desenvolvimento, programadores ajustam um certificado para teste e depois o aplicam na versão de produção, e ele não está assinado pela CA. Essa é uma prática péssima”, finalizou Hudson.
Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini
*Texto de responsabilidade da rede de jornalismo norte-americana UBM. O IT Web traduziu e editou o conteúdo levemente. Leia o original aqui.
Saiba mais:
Kaspersky Lab descobre maior ciberarma de todos os tempos
Microsoft combate Flame com certificado de autenticidade
Com código brasileiro, nova ciberarma Flame foi desenvolvida por governo
A pressão por controle de custos vem alterando a dinâmica das áreas de tecnologia nas…
O mercado brasileiro de fintechs passou por uma transformação no perfil dos investimentos em 2025.…
O avanço da inteligência artificial e o uso estratégico de dados vêm transformando a forma…
Por Ramon Ribeiro Quase metade do código produzido por assistentes de inteligência artificial contém vulnerabilidades…
Peça a um modelo de inteligência artificial que gere a imagem de uma cidade, sem…
O IT Forum apresenta, semanalmente, os novos executivos e os principais anúncios de contratações, promoções e mudanças…