Mais Furos Encontrados no Protocolo de Segurança SSL da Web

Na conferência Black Hat em Las Vegas na quinta-feira, os pesquisadores revelaram uma série de ataques que poderiam ser usados ​​para comprometer a segurança. tráfego que viaja entre sites e navegadores.

Esse tipo de ataque pode permitir que um invasor roube senhas, sequestre uma sessão bancária on-line ou até mesmo implemente uma atualização do navegador Firefox que contenha código malicioso, disseram os pesquisadores.

[Leitura adicional: Como remover malwares do seu PC Windows]

Os problemas residem no modo como muitos navegadores implementaram o SSL e também no sistema de infraestrutura de chaves públicas X.509 usado para gerenciar os certificados digitais usados. por SSL para determinar se um site é confiável ou não.

Um pesquisador de segurança que se auto-intitula Moxie Marlinspike mostrou uma maneira de interceptar o tráfego SSL usando o que ele chama de certificado de terminação nula. Para fazer seu ataque funcionar, a Marlinspike precisa primeiro obter seu software em uma rede local. Uma vez instalado, ele localiza o tráfego SSL e apresenta seu certificado de terminação nula para interceptar as comunicações entre o cliente e o servidor. O ataque de Marlinspike é notavelmente semelhante a outro ataque comum conhecido como ataque de injeção de SQL, que envia dados especialmente criados para o programa na esperança de enganá-lo. fazendo algo que normalmente não deveria fazer. Ele descobriu que, se ele criasse certificados para seu próprio domínio da Internet que incluíssem caracteres nulos - geralmente representados com um 0 - alguns programas interpretariam mal os certificados.

Isso ocorre porque alguns programas param de ler texto quando vêem um caractere nulo. Assim, um certificado emitido para www.paypal.com 0.thoughtcrime.org pode ser lido como pertencente a www.paypal.com.

O problema é generalizado, disse Marlinspike, afetando o Internet Explorer, o software VPN (virtual private network), clientes de e-mail e software de mensagens instantâneas e Firefox versão 3.

Para piorar, os pesquisadores Dan Kaminsky e Len Sassaman relataram que descobriram que um grande número de programas da Web dependem de certificados emitidos usando uma criptografia obsoleta. tecnologia chamada MD2, que há muito tempo é considerada insegura. O MD2 ainda não foi quebrado, mas pode ser quebrado em questão de meses por um atacante determinado, Kaminsky disse.

O algoritmo MD2 foi usado há 13 anos pela VeriSign para auto-assinar "um dos certificados raiz "VeriSign parou de assinar certificados usando o MD2 em maio", disse Tim Callan, vice-presidente de marketing de produto da VeriSign.

No entanto, "grande número de sites usa essa raiz, então não podemos matá-lo ou quebrar a Web ", disse Kaminsky.

Os fabricantes de software podem, no entanto, dizer a seus produtos que não confiem em certificados MD2; eles também podem programar seus produtos para não serem vulneráveis ​​ao ataque de terminação nula. Até agora, no entanto, o Firefox 3.5 é o único navegador que corrigiu o problema de terminação nula, disseram os pesquisadores.

Esta é a segunda vez, no último semestre, que o SSL está sob escrutínio. No ano passado, os pesquisadores descobriram uma maneira de criar uma autoridade de certificação desonesta, que poderia emitir certificados SSL falsos que seriam confiáveis ​​por qualquer navegador. Kaminsky e Sassaman dizem que há uma série de problemas na forma como os certificados SSL são emitidos que os tornam inseguros. Todos os pesquisadores concordaram que o sistema x.509 usado para gerenciar certificados para SSL está desatualizado e precisa ser corrigido.