Como estar seguro quando a chave de criptografia é usada 28 mil vezes?
Como estar seguro quando a mesma chave de criptografia é usada 28 mil vezes?
E se a chave da sua casa fosse partilhada com 28 mil outros lares?
Isto é essencialmente o que os investigadores da Royal Holloway da
Universidade de Londres descobriram na semana passada, durante um
“scanning” na Internet para ver quantos servidores e dispositivos ainda
são vulneráveis à falha de segurança conhecida como FREAK.
Revelada a 3 de Março, a falha permite que um atacante tenha acesso às informações que trafegam por uma conexão protegida pelo protocolo SSL/TLS (Secure Sockets Layer/Transport Layer
Security).
Esta foi a última de uma série de falhas encontradas ao longo do último
ano no amplamente utilizado software open source.
Mais de um quarto dos hosts estavam
vulneráveis à FREAK. Na semana passada, investigadores da Royal Holloway
decidiram ver que percentagem ainda não tinha resolvido o problema.
Kenneth G. Paterson, professor do Information Security Group da Royal Holloway e co-autor do trabalho de pesquisa, caracteriza-o como um pequeno projeto que produziu resultados surpreendentes.
Os pesquisadores analisaram todo o espaço de endereços IPv4 usando o ZMap,
olhando para os “hosts” que permitiriam um ataque FREAK, o que envolve
forçar um “host” a aceitar uma chave criptográfica RSA de 512 bits para
garantir uma conexão.
As chaves criptográficas com esse tamanho foram consideradas
inseguras há mais de 15 anos. Na década de 1990, o governo dos EUA restringiu a exportação
de produtos com chaves maiores e mais fortes. Mesmo após essa exigência
ter sido abandonada, muitos produtos ainda suportam a versão mais
fraca.
O resultado da pesquis? 9,7% dos cerca de 23 milhões de “hosts”, ou
cerca de 2,2 milhões, ainda estão aceitando chaves de 512 bits – um
número surpreendente, considerando a gravidade da falha FREAK e mais de duas
semanas após o problema ter sido divulgado.
Mas os investigadores também fizeram uma outra descoberta
surpreendente: muitos “hosts” – que podem ser servidores ou outros
dispositivos ligados à Internet – compartilham a mesma chave pública de 512
bits, disse Paterson.
Num exemplo notório, 28.394 routers com um módulo SSL VPN usam todos a mesma chave pública RSA de 512 bits.
Isto nunca deveria ter acontecido.
Muito provavelmente, um fabricante gerou uma
chave e depois instalou-a em muitos e diversos dispositivos. “É preguiça por parte do fabricante”, diz Paterson em entrevista ao IDG News Service. “É um pecado cardinal. Um bom exemplo de como não se deve usar a
criptografia”.
