Um investigador da Kaspersky Labs diz que hackers obtiveram um certificado SSL para sites da Google, tendo facilitada a tarefa da falsificação de sites para roubo de dados.
Um grupo de hackers terá obtido acesso a um certificado digital SSL capaz de autenticar sites falsos como sendo da Google. O dispositivo tecnológico de certificação terá sido conseguido a partir de um fornecedor de certificados holandês, DigiNotar, de acordo com Roel Schouwenberg, investigador de malware da Kasperky Lab. Hoje a entidade emissora de certificados diz ter já revogado a validade do certificado em questão.
A DigiNotar foi adquirida no início deste ano pela Vasco, de Chicago, organização que se assume como “líder mundial em autenticação forte”.
Os criminosos podiam usar o certificado para conduzir ataques denominados “man-in-the-middle”, nos quais há intrusão e monitorização da interacção dos utilizadores – atingindo em particular utilizadores do Gmail. Seria uma carta branca para qualquer domínio Google, considera Schouwenberg.
Neste tipo de incidente “os criminoso podem envenenar o DNS, apresentar o site com o certificado falso obter os dados do utilizador”, explica o director de operações de segurança da nCircle, Andrew Storms. Os ataques “man-in-the-middle” também podem ser desencadeados usando mensagens de spam com links direccionados para sites falsos. Se os utilizadores seguirem esse link, seus dados de usuário e senha da conta podem ser obtidos.
Vários detalhes sobre o certificado foram publicados no site Pastebin.com no último sábado. O Pastebin é um site público onde programadores – incluindo hackers – geralmente publicam amostras de códigos fonte.
O investigado em segurança e programador da Tor, Jacob Applebaum, confirmou que o certificado era válido. Esse facto impede um browser navegador negar-se a abrir uma mensagem de alerta se seu utilizador visitar um site falsificado com o referido dispositivo.
Não é claro se o certificado foi obtido por causa de um descuido da DigiNotar ou por meio de uma vulnerabilidade no site de emissão da companhia. “Dado os seus laços com sectores financeiros e da administração pública, é extremamente importante descobrirmos o alcance da vulnerabilidade o mais rápido possível”, disse Schouwenberg.
A situação é semelhante àquela verificada em Março, quando um hacker obteve certificados para alguns dos maiores sites da web, incluindo o Google e o Gmail, Microsoft, Skype e Yahoo. Nessa altura, a empresa Comodo, emissora de certificados, afirmou que nove certificados foram emitidos de maneira fraudulenta: os intrusos terão usado uma conta para uma companhia parceira do fornecedor no sul da Europa.
Inicialmente, a Comodo argumentou que o governo do Irão podia estar envolvido no roubo. No entanto, alguns dias depois, um único hacker iraniano assumiu responsabilidade pelo roubo de certificados SSL.
Hoje, Schouwenberg, da Kaspersky, afirma que “envolvimento de um país é a explicação mais plausível” para o desvio do certificado emitido pela DigiNotar. “Em primeiro lugar, pelo tipo de informação procurada – dados de utilizadores do Google”, disse Schouwenberg. “Isso aponta para uma operação de serviços secretos em vez de qualquer outra coisa do tipo. Depois, esse tipo de ataque só funciona quando o intruso tem algum controle sobre a rede, mas não sobre as máquinas.”