Roubo de certificado põe em risco o Gmail

Um grupo de crackers conseguiu obter um certificado digital válido para qualquer site Google a partir de um provedor de certificados da Holanda, de acordo com Roel Schouwenberg, pesquisador sênior de malware da Kasperky Lab. 

Os criminosos podem usar o certificado para conduzir ataques “man-in-the-middle” (intermediário) contra usuários do Gmail. “Esse é um ‘coringa’ válido para qualquer domínio Google”, afirmou Schouwenberg. 

“Os invasores podem envenenar o DNS (endereço web), apresentar seu site com o certificado falso e pronto, já têm os dados do usuário”, explica o diretor de operações de segurança da nCircle, Andrew Storms.

Ataques man-in-the-middle também podem ser liberados por meio de mensagens de spam com links levando a um site fingindo ser, digamos, o Gmail de verdade. Se os usuários seguirem esse link, seus dados de usuário e senha da conta podem ser obtidos.

Detalhes do certificado foram postados no site Pastebin.com no último sábado, 27/8. O Pastebin é um site público onde desenvolvedores – incluindo hackers – geralmente postam amostras de códigos fonte.

De acordo com Schouwenberg, o certificado SSL (secure socket layer) é válido, e foi emitido pela DigiNotar, uma autoridade holandesa em certificados. A DigiNostar foi adquirida no início deste ano pela empresa Vasco, de Chicago, que, em seu site, alega ser “uma líder mundial em autenticação forte”. Até o fechamento desta reportagem, a Vasco não havia respondido ao nosso pedido de comentário.

O pesquisador de segurança e desenvolvedor da Tor, Jacob Applebaum, confirmou que o certificado era válido. Por causa disso, um navegador não exibiria uma mensagem de alerta se seu usuário visitasse um site com ele.

Não importa se o certificado foi obtido por causa de um descuido da DigiNotar ou por meio de um vazamento no site de emissão de certificados da companhia. 

“Dados os seus laços com setores financeiros e do governo, é extremamente importante descobrirmos o alcance do vazamento o mais rápido possível”, disse Schouwenberg. A situação foi similar a um vazamento que aconteceu no último mês de março, quando um hacker obteve certificados para alguns dos maiores sites da web, incluindo o Google e seu Gmail, Microsoft, Skype e Yahoo.

Então, a empresa Comodo, que emite certificados, afirmou que nove certificados foram emitidos de maneira fraudulenta após os invasores terem usado uma conta designada para uma companhia parceira no sul da Europa.

Inicialmente, a Comodo argumentou que o governo do Irã podia estar envolvido no roubo. No entanto, alguns dias depois um único hacker iraniano assumiu responsabilidade pelo roubo de certificados SSL.

Hoje, Schouwenberg, da Kaspersky, afirmou que “envolvimento de um país é a explicação mais plausível” para o desvio do certificado emitido pela DigiNotar.

“Em primeiro lugar, há o tipo de informação sendo buscada – dados de usuários do Google”, disse Schouwenberg. “Isso aponta para uma operação de inteligência em vez de qualquer outra coisa do tipo. Depois, esse tipo de ataque só funciona quando o invasor tem algum controle sobre a rede, mas não sobre a máquina de verdade.”