NOTICIAS

Vulnerabilidade permite que criminosos digitais criem certificados falsos que são vistos como verdadeiros pela maioria dos navegadores.
Um time de pesquisadores revelou uma falha crítica na infra-estrutura de certificação digital da internet.
A falha atinge os domínios https, considerados mais seguros por serem criptografados e exigirem certificados digitais. Ao visitar esses portais, o navegador adiciona um símbolo de segurança ao verificar que o site possui um certificado digital concedido pelas autoridades certificadoras.
O navegador consegue garantir que o certificado digital do site é legítimo ao analisá-lo com algoritmos de criptografia.
O que os pesquisadores descobriram é que um desses algoritmos, o MD5, pode ser enganado por criminosos digitais. Isso significa que o navegador pode falar que o site é legítimo quando ele se trata de uma cópia. O time conseguiu, também, criar uma autoridade certificadora falsa. Assim, a AC daria certificados digitais que seriam aceitos como verdadeiros pela maioria dos navegadores.
Ao usar a AC falsa, aproveitando da falha do algoritmo MD5, os crackers podem usar a conhecida falha do DNS (sistema de nome de domínios da internet) para criar ataques de phishing impossíveis de identificar.
Se um usuário acessa o site do banco ao qual é correntista, por exemplo, ele pode ser redirecionado para um portal clonado que aparenta ser idêntico ao original. Além disso, o navegador receberia um certificado digital – falso – que atestaria que o site é legítimo. Os dados críticos dos usuários seriam enviados diretamente para as mãos dos criminosos.
Por conta da descoberta, os pesquisadores defendem que o MD5 não pode mais ser considerado um algoritmo de criptografia seguro para uso em assinatura e certificados digitais.