A pequena imagem de um cadeado no canto dos navegadores não pode mais indicar certamente que uma conexão é segura. É o que mostrou uma nova pesquisa divulgada nesta terça-feira (30) no congresso de tecnologia 25C3, em Berlim.
Com testes, um time de pesquisadores do Centrum Wiskunde & Informatica (CWI), da Califórnia, e da Eindhoven University of Technology, da Holanda, conseguiu quebrar a segurança de um site confiável usando uma rede conectada de 200 consoles do videogame PlayStation 3.
Com o equipamento, eles demonstraram que é possível enganar o navegador caso o site use um antigo algoritmo de criptografia, chamado MD5. Ele é usado para embaralhar o conteúdo de uma mensagem --como uma senha, por exemplo-- antes de enviá-la, para que somente o destinatário possa lê-la.
Quando um usuário visita um site cujo endereço começa com "https", geralmente vê um cadeado fechado no canto do navegador, que indica que o site emprega um certificado digital lançado por uma autoridade confiável que opera na rede. O navegador verifica o certificado, usando algum algoritmo, incluindo, em alguns sites, o MD5.
Foi em um site usando este algoritmo que os pesquisadores conseguiram driblar a segurança. O procedimento, no entanto, durou três dias para ser completado, até que pudessem identificar o conteúdo da mensagem enviada em teste.
Se fosse usado apenas um computador normal, a tática usada poderia demorar cerca de 30 anos para alcançar o mesmo resultado, gerando dois falsos certificados.
Para muitos especialistas, mesmo que a quebra realizada pelos pesquisadores seja bastante difícil de conseguir, os resultados do teste --mostrados no congresso da 25C3 em Berlim-- podem contribuir para que as conexões fiquem mais seguras.
Grandes empresas que desenvolvem navegadores, como a Microsoft e a Mozilla, por exemplo, já foram informadas da vulnerabilidade dos sistemas de criptografia que usam o MD5. Com isso, elas podem adaptar seus programas para indicar sites que usam o algoritmo vulnerável.
Um dos objetivos da pesquisa foi justamente alertar as autoridades que expedem os certificados para que não usem mais o sistema antigo e migrem para outros algoritmos alternativos e mais modernos, como o SHA-2.
Fonte: Folha Online
Nenhum comentário:
Postar um comentário