Sites tidos como confiáveis podem esconder ameaças

Uma nova e poderosa forma de ataque via internet funciona de maneira semelhante a um grampo telefônico, exceto pelo fato de ocorrer entre computadores e sites nos quais aqueles computadores confiam.

As novas ameaças foram reveladas em duas conferências de especialistas em segurança eletrônica, a Black Hat e a DefCon, realizadas nos Estados Unidos no final do mês passado. Há, segundo lá foi demonstrado, uma falha grave no modo como os programas de navegação na internet bloqueiam sites não confiáveis e impedem que os mesmos sejam visitados.

Um criminoso que se infiltrar em uma rede poderá criar um posto secreto de escuta e capturar números de cartão de crédito, senhas e outros dados sigilosos que passem entre os computadores daquela rede e em sites que os navegadores consideram seguros.

Em uma situação ainda mais nefasta, um invasor poderia sequestrar o dispositivo de atualização automática do computador de uma vítima e induzi-lo a instalar automaticamente um malware. O micro atuaria como se essa fosse uma atualização oriunda do fabricante.

O problema está na forma como os navegadores interagem com os certificados do sistema de segurança SSL (Security Socket Layer), uma tecnologia comum usada em serviços de banco, comércio eletrônico e outros sites que trabalham com dados sigilosos.

Reação

Os fabricantes de navegadores e as empresas que vendem certificados SSL estão buscando formas de resolver isso.

A Microsoft, cujo navegador Internet Explorer é o mais popular do mundo, disse estar investigando a questão.

A Mozilla, que fabrica o Firefox, o segundo navegador mais usado, afirmou que a maioria dos problemas citados foi solucionada na última versão do seu navegador e que os demais serão solucionados em uma atualização programada para este mês.

A VeriSign, uma das maiores empresas certificadoras SSL, afirma que seus certificados não são vulneráveis. E adiantou que o grampo não vai funcionar contra os certificados chamados Extended Validation SSL (validação ampliada), que custam mais e envolvem uma inspeção mais aprofundada dos pedidos das empresas para adquirir o certificado.

Como funciona

Essa forma de ataque é chamada de uma invasão do tipo man-in-the-middle (intermediário), na qual um criminoso se coloca entre o computador de uma vítima e um site legítimo a fim de roubar dados.

Os certificados SSL são uma tecnologia fundamental se o objetivo é tornar a web confiável. Os sites compram os certificados a fim de criptografar o tráfego e garantir aos visitantes a confidencialidade dos dados fornecidos.

A presença de um certificado SSL em um site é determinada por um cadeado na barra de endereço. Os navegadores são programados a fim de bloquear sites que não têm um certificado SSL válido. Quando os sites não estão bloqueados, os usuários são informados sobre potenciais riscos e podem optar por não acessá-los.

Os problemas levantados pelos pesquisadores giram em torno de uma peculiaridade no modo como os navegadores leem os certificados SSL.

Muitas empresas certificadoras SSL permitem que as pessoas insiram dentro do endereço da web presente nos certificados recebidos um símbolo de programação chamado caractere nulo. Os navegadores geralmente ignoram esse símbolo e interrompem exatamente nele a leitura quando estão vasculhando o endereço da web constante do certificado.

O truque, na forma mais recente de ataque, é simples. Basta ao criminoso colocar o nome de um site legítimo antes desse caractere, e o navegador irá acreditar que o site visitado -que está sob controle do hacker- é legítimo.

O criminoso poderia assim encaminhar o tráfego em direção ao site legítimo e espionar tudo o que a vítima faz nessa página. Esse ataque é complicado, mas revela uma fraqueza importante da tecnologia vastamente usada com a finalidade de garantir a segurança de pessoas que fornecem a sites dados sigilosos.

Tradução de FABIANO FLEURY DE SOUZA CAMPOS