Categorias

Ataques abalam confiança em ‘cadeado’ de segurança da web

Ataques atingiram outras empresas do ramo.
Apple, Mozilla e Microsoft foram forçadas a retirar os certificados da empresa holandesa DigiNotar da lista de empresas confiáveis de seus navegadores de internet. O fato acontece depois de outras empresas como a Comodo e a StartCom também sofrerem ataques, enquanto dias depois outra empresa – a GlobalSign – admitiu que um invasor havia obtido acesso ao seu website. Essas são as empresas responsáveis pela “segurança” dos cadeados.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Os cadeados de segurança que aparecem em sites na internet são um sinal visual de que a troca e verificação dos certificados ocorreram com êxito. O nome técnico é SSL ou Secure Sockets Layer.
Na prática, o site envia um código para o computador do internauta que dá instruções para a codificação dos dados – chamado de “chave pública”. Esses dados, depois de codificados, podem ser apenas lidos pelo site que enviou o código usando a “chave privada”. Com isso, os dados ficam protegidos durante a transmissão e não podem ser interceptados, por exemplo, se você estiver usando o computador em uma rede Wi-Fi pública.
Ninguém precisa pagar nada para ter acesso a essa tecnologia. O que cabe a essas empresas é realizar é a “autenticação” das organizações – ou seja, garantir que apenas uma empresa tenha um certificado para o site “globo.com”, por exemplo, e que esse certificado, caso ainda não tenha sido emitido, seja emitido apenas para o verdadeiro responsável pelo site. Um criminoso jamais pode obter um certificado digital em um nome de um banco.
É por isso que essa tecnologia criptográfica envolve o que se chama de “certificados”. Essas empresas são essencialmente cartórios digitais. Os navegadores de internet é que decidem em quais “cartórios” eles confiam.

No entanto, a invasão à DigiNotar permitiu que um criminoso criasse certificados para vários sites, inclusive para endereços de páginas como Google e Yahoo. Usando outras técnicas como o envenenamento de DNS ou envenenamento em redes Wi-Fi, um criminoso poderia criar um ataque “perfeito” com páginas falsas idênticas às reais para o roubo de dados.
A tecnologia do SSL é simples, erros são difíceis de consertar e pelo menos uma empresa demonstrou incompetência para proteger seus sistemas. Os cadeados de segurança continuam sendo importantes, mas não se pode mais acreditar que sites falsos não podem ou não terão o cadeado. Os cadeados são especialmente importantes quando um site como um banco for acessado de uma rede pública – mas esse deveria ser um comportamento a ser evitado.

Tecnologia é simples
Empresas de certificações cobram às vezes mais de cem reais por uma tecnologia que é essencialmente de graça. Uma empresa certificadora israelense, a StartSSL, oferece certificados gratuitos para alguns websites. O processo é 100% automatizado e, em poucos minutos, qualquer dono de website – legítimo ou não – pode ter seu certificado. O único requerimento é um endereço de e-mail válido.
Embora a tecnologia seja simples, validar a identidade dos solicitantes de certificados pode não ser. É aí que entraria o trabalho da certificadora. No entanto, ela precisa proteger seus sistemas para impedir a emissão de certificados não autorizados.

Erros graves de segurança
A DigiNotar, além de fornecer certificados para sites de internet, também fornecia serviços de certificação para a infraestrutura do governo holandês. Depois de sofrer a invasão, o governo contratou uma auditoria para avaliar a segurança da empresa.
A auditoria encontrou diversos erros na administração e configuração dos sistemas de segurança da DigiNotar, incluindo softwares desatualizados, senhas fracas e falta de isolamento na rede. Na prática, um invasor conseguiu chegar ao serviço gerador de chaves a partir de um sistema “periférico”, como um servidor de internet ou o computador de uma recepcionista, que não deveria estar conectado ao servidor central.

Certificados falsos são difíceis de invalidar
Um certificado digital contém uma assinatura da empresa certificadora – basicamente um “atestado” do cartório digital. Essa assinatura pode ser revogada por meio de um protocolo chamado OCSP. Na prática, o comportamento do OCSP muda de navegador para navegador e ele depende da conexão com a internet. Em um ataque no qual o invasor já possui algum controle sobre a rede, manipular o OCSP também pode ser possível.
Ou seja, é difícil invalidar um certificado falso depois que ele foi emitido. É por isso que as empresas se viram obrigadas a retirar a DigiNotar de sua lista de empresas “confiáveis”. Por outro lado, é provável que centenas de sites legítimos estejam mensagens de erro agora que os navegadores não confiam mais no que foi certificado pela DigiNotar.
Existem muitas outras empresas que fornecem esses serviços de certificação. Mas a corrente só é tão forte quanto o elo mais fraco – e esse ditado se aplica muito bem no caso das empresas certificadoras. Se uma delas for comprometida, os certificados falsos emitidos terão validade e irão reduzir o valor do sistema inteiro. Por isso a pressa das empresas em remover a DigiNotar da lista de empresas confiáveis.
A coluna Segurança Digital de hoje termina aqui. Se você tem alguma dúvida sobre segurança, uma sugestão ou uma crítica, deixe-a na área de comentários. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página https://twitter.com/g1seguranca.

Com informações de G1.