Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


ÚLTIMOS TREINAMENTOS DE 2017 SOBRE FRAUDES e DOCUMENTOSCOPIA

Veja aqui a programação dos últimos treinamentos sobre Falsificações e Fraudes Documentais (16/11) e sobre Prevenção e Combate a Fraudes em Empresas (30/11).

Acompanhe nosso Twitter

29/03/2011 - G1 Escrever Comentário Enviar Notícia por e-mail Feed RSS

Hacker invade empresa de segurança e falsifica 'cadeados' de sites

Por: Altieres Rohr

Comodo foi atacada por invasor iraniano. Companhia certifica sites com ícone de segurança.

O site da InstantSSL.it foi invadido por um hacker iraniano que criou "cadeados" falsos que deixava desprotegido o acesso a sites como Yahoo, Gmail, Mozilla e Microsoft Live. Os certificados de segurança já foram revogados pela Comodo, parceira da InstantSSL.it, mas se continuassem operando permitiram a criação de sites falsos com "cadeado" válido – possibilitando roubo de dados e grampos nos acessos.

Normalmente, sites com cadeados de segurança estão protegidos contra grampos de conexão. A única forma de obter as informações que trafegam por uma conexão segura é com a cooperação do responsável pelo site, o que normalmente requer uma ordem judicial. A Comodo é uma das empresas responsáveis pela emissão desses certificados de segurança (Autoridades Certificadoras) e responsável pela auditoria de suas parceiras e revendedoras.

Os navegadores de internet acompanham em sua instalação os certificados das “Autoridades” confiáveis para permitir que o próprio navegador consiga validar os certificados. Em tese, caso uma dessas empresas seja insegura, ela poderia ser removida dessa lista e seus certificados considerados inválidos.

Antiamericanismo

A Comodo afirmou o ataque teria sido realizado pelo governo iraniano, porém o próprio responsável deixou diversas mensagens no Pastebin desmentindo a empresa e detalhando todo o ataque, incluindo as falhas usadas. No entanto, ele admitiu ser um iraniano de 21 anos, sem ligação com o governo, e mostrou ódio aos americanos.

“Estados Unidos e Israel fizeram o Stuxnet [vírus que atacou usinas nucleares no Irã] e ninguém mais fala dele. Se vocês podem espionar em todo mundo com o Echelon [rede de escuta mundial dos EUA], eu posso criar certificados falsos”.

O invasor disse ter “a experiência de mil hackers”, mas Robert Graham, especialista da Errata Security, lembra que os hackers costumam exagerar seus feitos. Em uma postagem mais recente, o próprio hacker diz que pode ter se empolgado. “Estava muito feliz com meu trabalho”. Mas Graham nota que o ataque teve sim seu mérito. “Foi mais do que um teste de segurança normal faria”, afirma.

“A Comodo fez muitas coisas erradas, desde estar vulnerável a ataques de injeção de código SQL a incluir segredos de segurança em uma DLL”, informa o especialista. Graham comenta que usa o plugin Certificate Patrol do Firefox para ser alertado quando um certificado mudar – como seria o caso se um certificado falso fosse de repente usado em vez do legítimo, no entanto muitas trocas ocorrem por motivos legítimos, como a renovação da data de validade, mas a questão toda é muito complicada para os usuários.

“Na teoria, existem mecanismos de verificação de certificados como o CRL e OSCP. O problema que um atacante em condições de interceptar as comunicações SSL também pode impedir que o processo de validação funcione adequadamente”, explica Sandro Süffert, diretor de tecnologia da Techbiz Forense. Süffert tem realizado uma extensa cobertura do caso em seu blog.

Múltiplas falhas

É a segunda vez que uma parceira da Comodo se envolve em um problema de segurança. Em 2008, um executivo de outra empresa de certificados conseguiu emitir um certificado falso para o site “Mozilla.com” porque a empresa não realizava adequadamente a verificação de titularidade.

“O que significa ’confiar’ em autoridades certificadoras se elas podem falhar repetidamente e todo mundo ‘confia’ nelas?”, questiona o especialista Robert Graham. Ele conta que já removeu o certificado raiz da Comodo de seu navegador de internet.

Em 2009, outra empresa emissora de certificados, a VeriSign, recebeu atenção negativa por usar um mecanismo de verificação inseguro que foi quebrado por um “exército” de 200 Playstation 3.

Como funciona o cadeado de segurança

As chamadas “autoridades certificadoras” (ACs), como a Comodo, são responsáveis por verificar que o certificado que está assinando foi realmente criado por alguém ligado ao website solicitante. Se um criminoso fizer o pedido pelo certificado para um “bancoqualquer.b.br”, a AC negará o pedido porque o criminoso não conseguirá provar que é dono de “bancoqualquer.b.br”.

Nos golpes de “homem no meio”, um hacker obtém o controle da rede do internauta, seja por falha no provedor ou no seu modem. Com isso, ele redirecionará o “bancoqualquer.b.br” para um computador que ele mesmo controla, ficando como uma ponte entre o usuário e o site real. Quando o internauta enviar suas credenciais para o site falso, idêntico ao verdadeiro, o hacker terá a informação em suas mãos.

Porém, se o criminoso quiser colocar o “cadeado” SSL na página falsa - de modo a não causar suspeitas em usuários que poderão notar a ausência do ícone de segurança -, ele precisará de um certificado. Como nenhuma AC, em tese, irá lhe dar um certificado para um domínio que ele não controla, ele terá que criar um certificado sozinho.

Os navegadores web vem acompanhados de uma lista de ACs confiadas. Mas como o certificado do hacker não foi assinado por nenhuma delas, um aviso alertando a respeito do certificado suspeito será apresentado ao usuário.

Com falhas nas ACs ou suas revendedoras, um ataque como esse poderia ser completamente perfeito, incluindo o cadeado de segurança, permitindo a interceptação total dos dados.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 196 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal