Malware Flame expõe fragilidade da criptografia MD5

Author Photo
8:14 am - 10 de julho de 2012

Quão vulneráveis são as empresas aos malwares no estilo Flame? Este aplicativo malicioso foi capaz de falsificar um certificado digital legítimo da Microsoft e o usou para instalar cópias de si mesmo nos computadores-alvo. Os autores da ameaça criaram uma função hash de criptografia MD5 para, essencialmente, tornarem-se um “God Mode”, ou Modo Deus, no Windows.

Assine a Newsletter do IT Web

Siga o IT Web no Twitter

Curta, no Facebook, a Fan Page do IT Web

“A Microsoft usa esse certificado em três lugares: servidor Windows Update, para licenciamento e para inscrição de código”, afirmou Jeff Hudson, CEO da empresa de gerenciamento de senhas e certificados Venafi. “Isso permitiu que o invasor usasse um ataque de colisão MD5 para criar o que algumas pessoas da imprensa chamaram de certificado digital ‘evil twin’ [irmão gêmeo do mal]”.

 

Mas o problema não é com MD5, que sofreu o primeiro “crack” por pesquisadores em 2008, é com a própria fabricante. Em 2008, por meio de seu site TechNet, a Microsoft começou a incitar os usuários a utilizar o MD5, em vez de adotar o algoritmo de codificação SHA1, que é mais seguro.

 

Em outras palavras, a empresa falhou em observar seus próprios alertas sobre o MD5. Ela não está sozinha no uso do MD5. Segundo a Venafi, cerca de um quarto das duas mil maiores empresas do mundo usam inscrições de certificados do tipo.

 

Com a chegada do Flame, a Microsoft marcou o certificado ruim e atualizou o Windows para ajudar a prevenir ataques futuros. Mas o ataque mostra que todas as empresas precisam substituir seus certificados MD5, especialmente após a observação de Hudson de que certificados digitais são usados por empresas para assegurar a proteção de dados sensíveis, que envolvem “identidade, gerenciamento de acesso, autenticação e segredos” do negócio.

 

Ferramenta gratuita

 

Na semana passada, a Venafi lançou uma ferramenta gratuita, a MD5 Certificate Assessor, que pode ser usada para catalogar todos os certificados digitais em uso em uma rede corporativa, destacando os que usam a assinatura MD5, detalhando o certificate authority (CA) de cada certificado e identificando quaisquer senhas que não esteja em conformidade. A eliminação do MD5 nas empresas é prioridade porque, apesar de o Flame ter tido como alvo primário o Irã, Líbano e Síria, suas técnicas de ataque podem ser copiadas por outros.

 

“Cibercriminosos são supercriativos, financeiramente organizados e altamente motivados a roubar informações confidenciais. Organizações que querem reduzir riscos precisam fazer o possível para fechar as portas”, afirmou Eric Ogren, analista da Ogren Group. “Ferramentas gratuitas como essa fornecida pela Venafi para rastreamento de certificados podem fornecer uma vantagem e manter a empresa um passo à frente do invasor”, adicionou.

 

E o que as empresas deveriam usar no lugar dos certificados MD5? O ideal seria escolher um dos algoritmos hash SHA1 ou SHA2.

 

Mas quando usar o SHA1 ou SHA2, tenha o cuidado de implantar uma senha forte e longa. “O Nist [ sigla em inglês para The National Institute of Standards and Technology] avisou que chave 1.024-bit é passível de ser quebrada, teoricamente” afirmou Hudson. Em sua recomendação de gerenciamento de senhas, o instituto afirma que a chave de 1.024-bit deve ser abandonada e substituída pela de 2048-bit, que não deve ser vulnerável até 2030. Mas alguns especialistas recomendam chaves de proteção root ou contas com codificação de 4.096-bit, porque segundo Hudson, “se você quebra o root… atinge tudo”.

 

Atualmente, muitas empresas não usam os certificados digitais corretamente: “Achamos algumas coisas incríveis, como senhas de 512 bits, certificados autoassinados e até pior. Muitas vezes no desenvolvimento, programadores ajustam um certificado para teste e depois o aplicam na versão de produção, e ele não está assinado pela CA. Essa é uma prática péssima”, finalizou Hudson.

Tradução: Alba Milena, especial para o IT Web | Revisão: Adriele Marchesini

*Texto de responsabilidade da rede de jornalismo norte-americana UBM. O IT Web traduziu e editou o conteúdo levemente. Leia o original aqui.

Saiba mais:

Kaspersky Lab descobre maior ciberarma de todos os tempos

Microsoft combate Flame com certificado de autenticidade

Com código brasileiro, nova ciberarma Flame foi desenvolvida por governo

Notícias relacionadas

Notícias
Para Diogo Cortiz, maior desafio da IA é a falta de capacidade crítica para questionar suas respostas
Notícias
Agentes de IA vão dar “superpoderes” a profissionais de TI, diz DJ Sampath, da Cisco
Inteligência Artificial
Chatbots de bancos e fintechs não entendem as emoções dos clientes, aponta estudo
Notícias
Motorola Solutions compra D-Fend por US$ 1,5 bilhão
Ver todas as noticias

Newsletter de tecnologia para você

Os melhores conteúdos do IT Forum na sua caixa de entrada.