Olhar Direto

Sexta-feira, 29 de março de 2024

Notícias | Informática & Tecnologia

Pesquisadores usam PlayStation 3 para 'quebrar cadeados' de sites seguros

A semana foi marcada por uma polêmica discussão a respeito de um experimento divulgado na conferência alemã 25C3 (25º Chaos Communication Congress) sobre os certificados responsáveis pelos “cadeados” que aparecem em websites seguros. Para isso, os pesquisadores usaram nada menos que 200 videogames modelo PlayStation 3. Também nesta semana, o FBI divulgou um “desafio criptográfico” e a Microsoft negou a existência de uma falha no Windows Media Player.


Se você tem alguma dúvida sobre segurança, vá para o fim da reportagem e deixe-a nos comentários. A coluna Segurança para o PC traz respostas às perguntas deixadas pelos leitores todas as quartas-feiras.

Um grupo de pesquisadores de segurança divulgou na terça-feira (30), durante a conferência 25C3, em Berlim, os resultados de um experimento que provou a possibilidade de realização de um ataque em Autoridades Certificadoras (ACs) que ainda utilizam o algoritmo conhecido como MD5 (Message-Digest, algoritmo 5). Liderado por Alex Sotirov e Jacob Appelbaum, o grupo utilizou para isso o poder de processamento de nada menos que 200 consoles Playstation 3.

Por ter uma grande capacidade de processamento, esse videogame vem sendo utilizado para realizar pesquisas robustas -- uma iniciativa desse tipo está em andamento na Unicamp, por exemplo.

O ataque divulgado nesta semana não é simples, mas como resultado os pesquisadores conseguiram criar uma AC falsa para assinar seus certificados, gerando facilmente um desses documentos para qualquer site que quisessem. Mesmo para páginas fraudulentas.

O trabalho de uma AC é assinar certificados -- documentos digitais que garantem a autenticidade de um website. Como dados digitais são facilmente copiados, a “assinatura” não pode ser sempre igual, como acontece nos documentos “físicos” (cheques e contratos, por exemplo, em que uma mesma pessoa sempre assina da mesma forma). Para evitar fraudes, a assinatura digital precisa ser diferente e ao mesmo tempo verificável. Porém, como a possibilidade de criar novas assinaturas é limitada em relação ao número de possíveis certificados a serem criados, alguns desses documentos terão de receber assinaturas iguais. 

O que os pesquisadores conseguiram foi gerar (usando o poder dos 200 PS3) um certificado e uma “procuração” cujas assinaturas (em MD5) seriam iguais. Assim, eles enviaram para a AC o certificado, que foi assinado sem problemas. Depois, copiaram a assinatura do certificado para a “procuração”. Com isso, eles poderiam assinar outros certificados eles mesmos, pois tinham um documento “autorizado” por uma Autoridade Certificadora.

Em outras palavras, o “cadeado de segurança” poderia aparecer em páginas falsas sem que qualquer aviso ou erro fosse apresentado pelo navegador, visto que o certificado estaria assinado por alguém “confiado” por uma AC.

Especialistas em segurança estão debatendo o impacto real do experimento. Depois de um susto inicial e do pânico, um consenso está se materializando. E ele é positivo: não há motivo de preocupação para os internautas.

Há motivos para o otimismo. A tecnologia MD5 é considerada vulnerável há muito tempo e pouquíssimas ACs ainda a utilizam. Quando essas poucas empresas passarem a utilizar uma tecnologia mais segura, como a SHA-512, realizar esse tipo de fraude será muito mais difícil. A quantidade de possíveis assinaturas SHA-512 é maior, complicando a criação de um certificado e uma procuração cujas assinaturas coincidam.

Sotirov disse à imprensa que o ataque poderia levar mais de seis meses para ser realizado por outro grupo -- tempo suficiente para que as Autoridades Certificadoras que ainda usam MD5 abandonem a tecnologia. O RapidSSL da VeriSign, usado pelos pesquisadores para demonstrar o ataque, deixará de realizar assinaturas com MD5 ainda este mês. 

O FBI publicou na segunda-feira (29) uma página em seu website contendo uma mensagem criptografada -- “codificada” de modo a dificultar sua leitura -- e convida os visitantes a decifrá-la. Não há prêmio, mas o desafio busca divulgar e encorajar a criptoanálise, como é chamada a área de estudo de codificação de mensagens.

Não é a primeira vez que o FBI realiza o desafio. Em 2007, outra mensagem criptografada foi criada pelo órgão. Há também um desafio mais fácil, na mesma área, destinado a crianças.
Para quem quer começar estudar o assunto de criptoanálise, o FBI possui um bom documento inicial, em inglês.

Uma suposta brecha no Windows Media Player foi divulgada no dia 24 de dezembro por Laurent Gaffie. Gaffie afirmou que o problema permitia “execução remota de código”, ou, simplesmente, instalar de vírus por meio de arquivos .wav, .snd ou .mid. Por meio de um post em seu blog de segurança, a Microsoft negou que o problema fosse uma brecha de segurança desse tipo.

Segundo a empresa, embora os arquivos descritos por Gaffie consigam travar o Windows Media Player, não há corrompimento de memória. Isso seria necessário para que o erro abrisse uma brecha para a instalação de vírus, como afirmou o pesquisador.

A Microsoft disse ainda já ter ciência do problema, pois o mesmo foi descoberto em análises internas de código. Apesar de ter sido considerado inofensivo, ele foi resolvido no Service Pack 2 do Windows Server 2003 e deve ser corrigido também nos próximos service packs para outras versões do Windows. Jonathan Ness, um especialista da Microsoft, publicou detalhes técnicos do erro.

Essas foram as principais notícias desta semana. A coluna volta na segunda-feira (5) com um assunto polêmico: a diferença (ou semelhança) entre os termos hacker e cracker. Bom fim de semana a todos!

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Entre no nosso canal do WhatsApp e receba notícias em tempo real, clique aqui

Assine nossa conta no YouTube, clique aqui
 
xLuck.bet - Emoção é o nosso jogo!
Sitevip Internet