Ir ao conteúdo
  • Cadastre-se
Visitante

Falha permite criação de phishing 'perfeito' com certificado digital falso.

Recommended Posts

Visitante

Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet.

A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.

O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.

O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.

Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.

Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.

Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.

Os resultados foram apresentados no congresso de segurança 25C3 realizado no dia 30 de dezembro em Berlim, Alemanha. O time de pesquisadores contou com profissionais independentes da Califórnia, Estados Unidos, além de especialistas do centro Wiskunde e Informatica (CWI) e na Universidade de tecnologia de Eindhoven, ambos na Holanda, e do EPFL, na Suíça.

Fonte : http://idgnow.uol.com.br/segurança/2009/01/02/falha-permite-criar-phishing-perfeito-com-certificado-digital-falso/

Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.

Tem gente que idolatra o MD5. :rolleyes:

Compartilhar este post


Link para o post
Compartilhar em outros sites

Faz muito tempo que deixei de acessar sites com informações críticas como bancos (e mudei as senha por segurança mesmo assim)

Na Internet o máximo que podem saber sobre mim é o meu nome e cidade em alguns sites (como o ML)

Hoje em dia eu não passo senha do PC nem por telefone...

Compartilhar este post


Link para o post
Compartilhar em outros sites

Crie uma conta ou entre para comentar

Você precisar ser um membro para fazer um comentário

Criar uma conta

Crie uma nova conta em nossa comunidade. É fácil!

Crie uma nova conta

Entrar

Já tem uma conta? Faça o login.

Entrar agora





Sobre o Clube do Hardware

No ar desde 1996, o Clube do Hardware é uma das maiores, mais antigas e mais respeitadas publicações sobre tecnologia do Brasil. Leia mais

Direitos autorais

Não permitimos a cópia ou reprodução do conteúdo do nosso site, fórum, newsletters e redes sociais, mesmo citando-se a fonte. Leia mais

×