Avisos de segurança não funcionam, dizem pesquisadores

Todo internauta os viu. Esses avisos de "certificado inválido" que você algumas vezes obtém quando está tentando visitar um site seguro.

Eles dizem coisas como "Há um problema com o certificado de segurança deste site". Se você é como a maioria das pessoas, pode se sentir um pouco desconfortável e - de acordo com um novo artigo de pesquisadores da Universidade Carnegie Mellon - há uma boa chance de você ignorar o aviso e clicar de qualquer maneira.

Experimento de laboratório, os pesquisadores descobriram que entre 55% e 100% dos participantes ignoraram os avisos de segurança de certificados, dependendo de qual navegador eles estavam usando (diferentes navegadores usam linguagem diferente para avisar seus usuários). seu PC com Windows]

"Todos sabiam que havia um problema com esses avisos", disse Joshua Sunshine, um estudante de pós-graduação da Carnegie Mellon e um dos coautores do artigo. "Nosso estudo mostrou dramaticamente quão grande era o problema".

Isso não é uma ótima notícia. Muitas vezes, os avisos aparecem por causa de um problema técnico no site, mas também podem significar que o internauta está sendo redirecionado de alguma forma para um site falso. URLs para sites seguros começam com "https".

Os pesquisadores primeiro conduziram uma pesquisa online com mais de 400 internautas, para saber o que eles achavam dos avisos de certificados. Eles então levaram 100 pessoas para um laboratório e estudaram como eles navegam na Web.

Eles descobriram que as pessoas geralmente tinham uma compreensão confusa dos avisos de certificados. Por exemplo, muitos achavam que podiam ignorar as mensagens quando visitavam um site em que confiavam, mas deveriam ser mais cautelosos com sites menos confiáveis.

"É uma espécie de compreensão inversa do significado dessas mensagens", disse Sunshine. "A mensagem está validando que você está visitando o site que acha que está visitando, não que o site seja confiável."

Se um site bancário mostrar uma mensagem de que seu certificado de segurança é inválido, esse é um sinal muito ruim, dizem especialistas em segurança. Isso poderia significar que o internauta está sendo submetido a um ataque chamado man-in-the-middle. Nesse tipo de ataque, o criminoso se insere entre o internauta e o site que está visitando, na esperança de roubar informações.

Especialistas em segurança há muito sabem que essas advertências de segurança são ineficazes, disse Jeremiah Grossman, diretor de tecnologia da empresa. Consultoria em segurança na Web White Hat Security. Isso porque os usuários "realmente não sabem o que significam os riscos de segurança", disse ele por mensagem instantânea. "Então eles aceitam a aposta."

No navegador Firefox 3, o Mozilla tentou usar linguagem mais simples e melhores avisos para certificados ruins. E o navegador dificulta ignorar um aviso de certificado incorreto. No laboratório da Carnegie Mellon, os usuários do Firefox 3 eram os menos propensos a clicar depois de receberem um aviso.

Os pesquisadores experimentaram vários avisos de segurança reformulados que eles próprios escreveram, que pareciam ser ainda mais eficazes. Eles planejam relatar suas descobertas no dia 14 de agosto no Simpósio de Segurança Usenix em Montreal.

Ainda assim, Sunshine acredita que avisos melhores ajudarão muito. Em vez de avisos, os navegadores devem usar sistemas que possam analisar as mensagens de erro. "Se esses sistemas decidirem que é provável que seja um ataque, eles devem simplesmente bloquear o usuário", disse ele.

Mesmo quando visitam sites importantes como bancos, "as pessoas ainda estão ignorando dramaticamente os alertas", disse ele.