Nos últimos dias li algumas notícias sobre problemas de segurança que proporcionaram manchetes bombásticas, acusações e briguinhas entre os fãs de várias plataformas. Seguem abaixo o resumo do que eu entendi sobre o assunto.
Divulgação na Internet de Senhas de Webmail
No final do mês passado e começo deste mês surgiram na internet extensas lista de logins e respectivas senhas para os serviços mais populares de Webmail. As primeiras listas eram relativas ao Hotmail e surgiram manchetes falando em "vazamento" das senhas. As acusações de incompetência da Microsoft perderam força com o surgimento, pouco depois, de listas semelhantes para GMail, Yahoo! e AOL.
A Microsoft já confirmou que não armazena as senhas e é muito provável que o mesmo se aplique aos demais (o que é armazenado é um hash). Portanto a ideia de um vazamento não parece fazer sentido.
A hipótese mais aceita é a das senhas terem sido obtidas por sites falsos simulando as telas de login dos webmail (phishing). Colabora com isto o fato das listas conterem alguns erro claros de digitação. Uma outra hipótese, um pouco menos provável, é os dados terem sido obtidos através de key loggers (programas que capturam o que o usuário está digitando).
Alguns links sobre o assunto:
http://www.theregister.co.uk/2009/10/05/hotmail_passwords_leaked/
http://www.theregister.co.uk/2009/10/06/gmail_webmail_phish/
Escolhendo Senhas Seguras
Algumas firmas de segurança analisaram as listas publicadas para verificar que tipos de senha estão normalmente sendo usadas. O resultado não foi animador. Das 10.000 senhas de Hotmail publicadas, 64 são o singelo "123456" e 18 são "123456789". 42% das senhas possuem somente letras minusculas e 19% possuem apenas dígitos.
A recomendação clássica é senhas longas, misturando letras minúsculas, maiúsculas, dígitos e caracteres especiais. Este tipo de senha é difícil de ser descoberta por tentativas automáticas. É também difícil de ser lembrada, o que explica o seu baixo uso. Mesmo quando usadas, existem dois outros riscos comuns: anotar a senha ou usar a mesma senha para vários serviços.
Informações sobre as análises das senhas:
http://www.theregister.co.uk/2009/10/07/hotmail_phish_password/
Problemas com Certificados Digitais
Uma das seguranças contra phishing é o certificado digital, que deveria ser uma garantia de que um site é realmente quem afirma ser. Infelizmente isto também está sob ataque.
O truque consiste em colocar um zero binário (nul) dentro de determinados campos de um certificado digital. Algumas aplicações consideram o nul como o fim do texto, ignorando o que vem a seguir. Desta forma algumas aplicações consideram iguais o que outras consideram diferentes. Um exemplo óbvio é na URL; um certificado emitido para www.paypal.com\0falso (onde \0 representa um nul) pode ser confundido com um certificado para www.paypal.com.
Parece coisa teórica, não? Entretanto um sujeito conseguiu obter de uma autoridade certificadora (CA) um certificado deste e postou aqui. Aparentemente a CA não fez uma boa consistência dos dados e não percebeu que tinha algo estranho acontecendo.
Uma das aplicações que se confunde com isto é a CryptoAPI da Microsoft. Esta API é usada por muita gente que roda sob Windows, em particular pelos browsers IE, Chrome e Safari. Todos eles são, neste momento, vulneráveis a este ataque. O Firefox já foi alterado para se proteger (não está claro se ele não usa a CryptoAPI ou se está fazendo uma consistência adicional).
Os links para as notícias:
http://www.theregister.co.uk/2009/07/30/universal_ssl_certificate/
http://www.theregister.co.uk/2009/10/05/fraudulent_paypay_certificate_published/
Nos comentários do segundo link acima tem discussões intermináveis sobre de quem é a culpa. A verdade é que a autoridade certificadora, a CryptoAPI e os browsers tem todos a oportunidade de validar os dados e bloquear o certificado suspeito. E, no entanto, não fizeram isto ainda.
Nenhum comentário:
Postar um comentário