Atualização da Microsoft revoga certificados falsos do Google e Yahoo
Certificados poderiam ser usados para criar sites falsos.
Chaves foram emitidas por autoridade certificadora na Índia.
Altieres Rohr
Especial para o G1
A Microsoft lançou nesta quinta-feira (10) uma atualização para diversas versões do Windows que revoga certificados de segurança falsos do Google e do Yahoo.
Uma autoridade certificadora da Índia emitiu certificados ilegítimos para endereços do Google e do Yahoo que poderiam ser usados para a criação de sites clonados. Eles permitem o redirecionamento do endereço com a inclusão do "cadeado" de segurança, o que dificulta a identificação do site falso.
A atualização será distribuída automaticamente para o Windows 8 e o Server 2012. Versões anteriores do Windows, como Vista e 7, precisam ter instalado o atualizador automático de certificados (ele pode ser baixado aqui).
Não se sabe quem usou esses certificados ou com qual finalidade. O Google soube da existência dos certificados no dia 2 de julho, mas o primeiro certificado falso foi emitido no dia 25 de junho. A autoridade certificadora na Índia revogou os certificados no dia 3 de julho.
A autoridade certificadora responsável pelas emissões é subordinada ao governo indiano. Normalmente, o procedimento de validação de domínios e de identidade deve impedir que certificados sejam emitidos para terceiros. O "processo de emissão" dos certificados, porém, teria sido comprometido, apontou uma investigação da autoridade certificadora.
Certificados emitidos por autoridades certificadoras valem no mundo todo. Dessa maneira, não há problema caso um internauta visite uma página falsa que apresenta um certificado da Índia, mesmo que o site ou a empresa em questão sejam de outro país. Qualquer autoridade certificadora, quando comprometida, pode ser usada para atacar qualquer site seguro.
Para atacar o site, porém, é preciso primeiro que o acesso a ele seja redirecionado. Para isso, é necessário atacar o provedor da vítima, o roteador da conexão com a internet ou a própria rede, como no caso de uma rede sem fio pública.
Em resposta ao incidente, o Google informou em seu blog de segurança que fará uma alteração no navegador Chrome para limitar os certificados do governo indiano aos domínios do país.
Celulares estão mais protegidos
Aplicativos para celulares aplicam um conceito chamado de "certificate pinning". Com isso, o próprio app pode verificar se o certificado usado pela conexão é ou não o certificado do provedor de serviço.
De acordo com a companhia de segurança Lacoon Security, o aplicativo do serviço de e-mail Gmail, do Google, para o sistema iOS, da Apple, não faz uso dessa proteção. O app para Android, no entanto, faz uso do "certificate pinning". O site "Threatpost" diz que entrou em contato com o Google para perguntar se o recurso, que supostamente já existia no aplicativo, seria incluído. Não houve resposta da empresa.
Fonte:http://g1.globo.com
Nenhum comentário:
Postar um comentário
Agradecemos sua participação.