Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


FALSIDADE DOCUMENTAL NOS PROCESSOS ELETRÔNICOS

Veja aqui a programação deste inédito treinamento programado para o dia 20/12 em São Paulo

Acompanhe nosso Twitter

02/01/2009 - ComputerWorld Escrever Comentário Enviar Notícia por e-mail Feed RSS

Falha de certificação digital pode criar ataques de phishing ‘perfeitos’

Vulnerabilidade permite que criminosos digitais criem certificados falsos que são vistos como verdadeiros pela maioria dos navegadores.

Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet.

A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.

O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.

O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.

Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.

Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.

Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.

Os resultados foram apresentados no congresso de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de especialistas do centro Wiskunde e Informatica (CWI) e na Universidade de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 196 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2017 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal