HTTPS sob risco: vulnerabilidade encontrada

httpsParece que o HTTPS não é necessariamente o método super seguro que muita gente acreditava ser. Nos últimos dias, um grupo de especialistas da Universidade de Boston, nos EUA, descobriu uma falha grave nos sistemas de sincronização do protocolo, que poderia permitir a interceptação de dados criptografados, problemas com transações de Bitcoin, por exemplo, ou a retirada de sites inteiros do ar.

Os peritos localizaram um problema no Network Time Protocol, um sistema usado para sincronizar os relógios internos de todos os computadores envolvidos em uma conexão, de forma a garantir que eles estejam no mesmo dia e horário. A partir de uma falha nesse sistema, foi possível adiantar ou atrasar tais configurações, abrindo as portas para os ataques que poderiam, na visão dos responsáveis pelo estudo, “causar caos na internet”.

Normalmente, esse tipo de proteção está funcionando para evitar que computadores com certificados de segurança desatualizados – ou seja, suscetíveis a falhas – se conectem. Por meio dessa vulnerabilidade, é exatamente isso que acontece, e a utilizando, hackers são capazes de burlar a proteção e inserirem em uma rede, por exemplo, as máquinas que podem realizar a espionagem e o roubo de dados, ou usar a manipulação nas datas para invalidar transações já realizadas via internet, constituindo fraude e causando prejuízos.

Segundo os especialistas, todos os testes com a vulnerabilidade foram bem-sucedidos, mas realizados em laboratório, e não dá para saber ao certo se essa brecha já foi ou pode ser utilizada na prática. Apesar de parecer grave, ela também é facilmente identificável, já que na visão dos peritos, qualquer usuário perceberia rapidamente que seu computador está infectado e exibindo uma data alguns anos no passado. Isso também poderia causar erros no acesso à internet ou em navegadores, o que acabaria expondo o problema.

Por outro lado, eles não descartam a hipótese que outros métodos possam ser utilizados em conjunto, de forma a fazer com que, visualmente, tudo pareça bem, dificultando a identificação do problema. Os especialistas colocaram no ar uma página especial para ajudar eventuais atingidos pela falha, com possíveis soluções para o problema e indicações de melhores práticas para contê-lo.

Agradecemos ao Davi, colaborador amigo do seu micro seguro, pela referência a essa notícia.

Fontes: Canaltech e ars technica

One Response to HTTPS sob risco: vulnerabilidade encontrada

  1. José pinheiro says:

    Caro Victor,

    Como diz o “Xaropinho”, do Programa do Ratinho: Rapaz!. Por isso, devemos ter um bom antivírus, um bom Firewall (o da Microsoft é bom) e bom senso.

    Até breve.

%d blogueiros gostam disto: