Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

02/01/2009 - G1 Escrever Comentário Enviar Notícia por e-mail Feed RSS

Pesquisadores usam PlayStation 3 para 'quebrar cadeados' de sites seguros

Por: Altieres Rohr

Experimento divulgado em Berlim usou nada menos que 200 videogames. Colunista resume essa e outras notícias da semana sobre segurança.

A semana foi marcada por uma polêmica discussão a respeito de um experimento divulgado na conferência alemã 25C3 (25º Chaos Communication Congress) sobre os certificados responsáveis pelos “cadeados” que aparecem em websites seguros. Para isso, os pesquisadores usaram nada menos que 200 videogames modelo PlayStation 3. Também nesta semana, o FBI divulgou um “desafio criptográfico” e a Microsoft negou a existência de uma falha no Windows Media Player.

Se você tem alguma dúvida sobre segurança, vá para o fim da reportagem e deixe-a nos comentários. A coluna Segurança para o PC traz respostas às perguntas deixadas pelos leitores todas as quartas-feiras.

>>> Pesquisadores usam PlayStation 3 para quebrar cadeados

Um grupo de pesquisadores de segurança divulgou na terça-feira (30), durante a conferência 25C3, em Berlim, os resultados de um experimento que provou a possibilidade de realização de um ataque em Autoridades Certificadoras (ACs) que ainda utilizam o algoritmo conhecido como MD5 (Message-Digest, algoritmo 5). Liderado por Alex Sotirov e Jacob Appelbaum, o grupo utilizou para isso o poder de processamento de nada menos que 200 consoles Playstation 3.

Por ter uma grande capacidade de processamento, esse videogame vem sendo utilizado para realizar pesquisas robustas - uma iniciativa desse tipo está em andamento na Unicamp, por exemplo.

O ataque divulgado nesta semana não é simples, mas como resultado os pesquisadores conseguiram criar uma AC falsa para assinar seus certificados, gerando facilmente um desses documentos para qualquer site que quisessem. Mesmo para páginas fraudulentas.

O trabalho de uma AC é assinar certificados - documentos digitais que garantem a autenticidade de um website. Como dados digitais são facilmente copiados, a “assinatura” não pode ser sempre igual, como acontece nos documentos “físicos” (cheques e contratos, por exemplo, em que uma mesma pessoa sempre assina da mesma forma). Para evitar fraudes, a assinatura digital precisa ser diferente e ao mesmo tempo verificável. Porém, como a possibilidade de criar novas assinaturas é limitada em relação ao número de possíveis certificados a serem criados, alguns desses documentos terão de receber assinaturas iguais.

O que os pesquisadores conseguiram foi gerar (usando o poder dos 200 PS3) um certificado e uma “procuração” cujas assinaturas (em MD5) seriam iguais. Assim, eles enviaram para a AC o certificado, que foi assinado sem problemas. Depois, copiaram a assinatura do certificado para a “procuração”. Com isso, eles poderiam assinar outros certificados eles mesmos, pois tinham um documento “autorizado” por uma Autoridade Certificadora.

Em outras palavras, o “cadeado de segurança” poderia aparecer em páginas falsas sem que qualquer aviso ou erro fosse apresentado pelo navegador, visto que o certificado estaria assinado por alguém “confiado” por uma AC.

Especialistas em segurança estão debatendo o impacto real do experimento. Depois de um susto inicial e do pânico, um consenso está se materializando. E ele é positivo: não há motivo de preocupação para os internautas.

Há motivos para o otimismo. A tecnologia MD5 é considerada vulnerável há muito tempo e pouquíssimas ACs ainda a utilizam. Quando essas poucas empresas passarem a utilizar uma tecnologia mais segura, como a SHA-512, realizar esse tipo de fraude será muito mais difícil. A quantidade de possíveis assinaturas SHA-512 é maior, complicando a criação de um certificado e uma procuração cujas assinaturas coincidam.

Sotirov disse à imprensa que o ataque poderia levar mais de seis meses para ser realizado por outro grupo - tempo suficiente para que as Autoridades Certificadoras que ainda usam MD5 abandonem a tecnologia. O RapidSSL da VeriSign, usado pelos pesquisadores para demonstrar o ataque, deixará de realizar assinaturas com MD5 ainda este mês.

>>> FBI faz desafio de criptografia

O FBI publicou na segunda-feira (29) uma página em seu website contendo uma mensagem criptografada - “codificada” de modo a dificultar sua leitura - e convida os visitantes a decifrá-la. Não há prêmio, mas o desafio busca divulgar e encorajar a criptoanálise, como é chamada a área de estudo de codificação de mensagens.

Não é a primeira vez que o FBI realiza o desafio. Em 2007, outra mensagem criptografada foi criada pelo órgão. Há também um desafio mais fácil, na mesma área, destinado a crianças.

Para quem quer começar estudar o assunto de criptoanálise, o FBI possui um bom documento inicial, em inglês.

>>>Microsoft nega gravidade de falha no Windows Media Player

Uma suposta brecha no Windows Media Player foi divulgada no dia 24 de dezembro por Laurent Gaffie. Gaffie afirmou que o problema permitia “execução remota de código”, ou, simplesmente, instalar de vírus por meio de arquivos .wav, .snd ou .mid. Por meio de um post em seu blog de segurança, a Microsoft negou que o problema fosse uma brecha de segurança desse tipo.

Segundo a empresa, embora os arquivos descritos por Gaffie consigam travar o Windows Media Player, não há corrompimento de memória. Isso seria necessário para que o erro abrisse uma brecha para a instalação de vírus, como afirmou o pesquisador.

A Microsoft disse ainda já ter ciência do problema, pois o mesmo foi descoberto em análises internas de código. Apesar de ter sido considerado inofensivo, ele foi resolvido no Service Pack 2 do Windows Server 2003 e deve ser corrigido também nos próximos service packs para outras versões do Windows. Jonathan Ness, um especialista da Microsoft, publicou detalhes técnicos do erro.

Essas foram as principais notícias desta semana. A coluna volta na segunda-feira (5) com um assunto polêmico: a diferença (ou semelhança) entre os termos hacker e cracker. Bom fim de semana a todos!

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 166 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal