Pesquisadores quebram segurança de site confiável
31/12/2008 – 15h57
A pequena imagem de um cadeado no canto dos navegadores não pode mais indicar certamente que uma conexão é segura. É o que mostrou uma nova pesquisa divulgada nesta terça-feira (30) no congresso de tecnologia 25C3, em Berlim.
Com testes, um time de pesquisadores do Centrum Wiskunde & Informatica (CWI), da Califórnia, e da Eindhoven University of Technology, da Holanda, conseguiu quebrar a segurança de um site confiável usando uma rede conectada de 200 consoles do videogame PlayStation 3.
Com o equipamento, eles demonstraram que é possível enganar o navegador caso o site use um antigo algoritmo de criptografia, chamado MD5. Ele é usado para embaralhar o conteúdo de uma mensagem –como uma senha, por exemplo– antes de enviá-la, para que somente o destinatário possa lê-la.
Quando um usuário visita um site cujo endereço começa com “https”, geralmente vê um cadeado fechado no canto do navegador, que indica que o site emprega um certificado digital lançado por uma autoridade confiável que opera na rede. O navegador verifica o certificado, usando algum algoritmo, incluindo, em alguns sites, o MD5.
Foi em um site usando este algoritmo que os pesquisadores conseguiram driblar a segurança. O procedimento, no entanto, durou três dias para ser completado, até que pudessem identificar o conteúdo da mensagem enviada em teste.
Se fosse usado apenas um computador normal, a tática usada poderia demorar cerca de 30 anos para alcançar o mesmo resultado, gerando dois falsos certificados.
Para muitos especialistas, mesmo que a quebra realizada pelos pesquisadores seja bastante difícil de conseguir, os resultados do teste –mostrados no congresso da 25C3 em Berlim– podem contribuir para que as conexões fiquem mais seguras.
Grandes empresas que desenvolvem navegadores, como a Microsoft e a Mozilla, por exemplo, já foram informadas da vulnerabilidade dos sistemas de criptografia que usam o MD5. Com isso, elas podem adaptar seus programas para indicar sites que usam o algoritmo vulnerável.
Um dos objetivos da pesquisa foi justamente alertar as autoridades que expedem os certificados para que não usem mais o sistema antigo e migrem para outros algoritmos alternativos e mais modernos, como o SHA-2.
-
Archives
- January 2009 (4)
- December 2008 (1)
- November 2008 (2)
- September 2008 (1)
- April 2008 (1)
-
Categories
-
RSS
Entries RSS
Comments RSS
