Hacker invade empresa de segurança e falsifica ‘cadeados’ de sites

01/04/2011 10:22 1 comentário

O site da InstantSSL.it foi invadido por um hacker iraniano que criou “cadeados” falsos que deixava desprotegido o acesso a sites como Yahoo, Gmail, Mozilla e Microsoft Live. Os certificados de segurança já foram revogados pela Comodo, parceira da InstantSSL.it, mas se continuassem operando permitiram a criação de sites falsos com “cadeado” válido – possibilitando roubo de dados e grampos nos acessos.

Normalmente, sites com cadeados de segurança estão protegidos contra grampos de conexão. A única forma de obter as informações que trafegam por uma conexão segura é com a cooperação do responsável pelo site, o que normalmente requer uma ordem judicial. A Comodo é uma das empresas responsáveis pela emissão desses certificados de segurança (Autoridades Certificadoras) e responsável pela auditoria de suas parceiras e revendedoras.

Os navegadores de internet acompanham em sua instalação os certificados das “Autoridades” confiáveis para permitir que o próprio navegador consiga validar os certificados. Em tese, caso uma dessas empresas seja insegura, ela poderia ser removida dessa lista e seus certificados considerados inválidos.

Antiamericanismo
A Comodo afirmou o ataque teria sido realizado pelo governo iraniano, porém o próprio responsável deixou diversas mensagens no Pastebin desmentindo a empresa e detalhando todo o ataque, incluindo as falhas usadas. No entanto, ele admitiu ser um iraniano de 21 anos, sem ligação com o governo, e mostrou ódio aos americanos.

“Estados Unidos e Israel fizeram o Stuxnet [vírus que atacou usinas nucleares no Irã] e ninguém mais fala dele. Se vocês podem espionar em todo mundo com o Echelon [rede de escuta mundial dos EUA], eu posso criar certificados falsos”.

O invasor disse ter “a experiência de mil hackers”, mas Robert Graham, especialista da Errata Security, lembra que os hackers costumam exagerar seus feitos. Em uma postagem mais recente, o próprio hacker diz que pode ter se empolgado. “Estava muito feliz com meu trabalho”. Mas Graham nota que o ataque teve sim seu mérito. “Foi mais do que um teste de segurança normal faria”, afirma.

“A Comodo fez muitas coisas erradas, desde estar vulnerável a ataques de injeção de código SQL a incluir segredos de segurança em uma DLL”, informa o especialista. Graham comenta que usa o plugin Certificate Patrol do Firefox para ser alertado quando um certificado mudar – como seria o caso se um certificado falso fosse de repente usado em vez do legítimo, no entanto muitas trocas ocorrem por motivos legítimos, como a renovação da data de validade, mas a questão toda é muito complicada para os usuários.

“Na teoria, existem mecanismos de verificação de certificados como o CRL e OSCP. O problema que um atacante em condições de interceptar as comunicações SSL também pode impedir que o processo de validação funcione adequadamente”, explica Sandro Süffert, diretor de tecnologia da Techbiz Forense. Süffert tem realizado uma extensa cobertura do caso em seu blog.

Múltiplas falhas
É a segunda vez que uma parceira da Comodo se envolve em um problema de segurança. Em 2008, um executivo de outra empresa de certificados conseguiu emitir um certificado falso para o site “Mozilla.com” porque a empresa não realizava adequadamente a verificação de titularidade.

“O que significa ’confiar’ em autoridades certificadoras se elas podem falhar repetidamente e todo mundo ‘confia’ nelas?”, questiona o especialista Robert Graham. Ele conta que já removeu o certificado raiz da Comodo de seu navegador de internet.

Em 2009, outra empresa emissora de certificados, a VeriSign, recebeu atenção negativa por usar um mecanismo de verificação inseguro que foi quebrado por um “exército” de 200 Playstation 3.

Como funciona o cadeado de segurança
As chamadas “autoridades certificadoras” (ACs), como a Comodo, são responsáveis por verificar que o certificado que está assinando foi realmente criado por alguém ligado ao website solicitante. Se um criminoso fizer o pedido pelo certificado para um “bancoqualquer.b.br”, a AC negará o pedido porque o criminoso não conseguirá provar que é dono de “bancoqualquer.b.br”.

Nos golpes de “homem no meio”, um hacker obtém o controle da rede do internauta, seja por falha no provedor ou no seu modem. Com isso, ele redirecionará o “bancoqualquer.b.br” para um computador que ele mesmo controla, ficando como uma ponte entre o usuário e o site real. Quando o internauta enviar suas credenciais para o site falso, idêntico ao verdadeiro, o hacker terá a informação em suas mãos.

Porém, se o criminoso quiser colocar o “cadeado” SSL na página falsa – de modo a não causar suspeitas em usuários que poderão notar a ausência do ícone de segurança -, ele precisará de um certificado. Como nenhuma AC, em tese, irá lhe dar um certificado para um domínio que ele não controla, ele terá que criar um certificado sozinho.

Os navegadores web vem acompanhados de uma lista de ACs confiadas. Mas como o certificado do hacker não foi assinado por nenhuma delas, um aviso alertando a respeito do certificado suspeito será apresentado ao usuário.

Com falhas nas ACs ou suas revendedoras, um ataque como esse poderia ser completamente perfeito, incluindo o cadeado de segurança, permitindo a interceptação total dos dados.

Fonte: g1.globo.com

VN:F [1.9.8_1114]
Rating: 3.3/10 (4 votes cast)
VN:F [1.9.8_1114]
Rating: -3 (from 3 votes)
Hacker invade empresa de segurança e falsifica 'cadeados' de sites, 3.3 out of 10 based on 4 ratings
  • julio

    I wanna be like this guy someday….

    VA:F [1.9.8_1114]
    Rating: 1.0/5 (1 vote cast)
    VA:F [1.9.8_1114]
    Rating: -1 (from 1 vote)