2012/10/26
Matemático Descobre Vulnerabilidade nos Emails
Ainda me recordo dos "bons" velhos tempos da internet, em que a maioria dos servidores de email pouco ou nada fazia para validar os remetentes dos emails, e que faziam com que qualquer pessoa pudesse facilmente enviar um email que apareceria no destino como tendo sido enviado por qualquer outra pessoa, desde um "cavaco@portugal.pt" a um "obama@president.com".
Claro que este tipo de coisa era facilmente exposto, olhando-se para a informação contida nos "headers" do email, e que por norma estão escondidas do olhar do público... e em breve também os serviços de email tornavam mais rígidas as suas políticas de segurança que verificam se o email estava mesmo a ser enviado por quem dizia que o estava a enviar.
E o email passou a ser novamente algo considerado "seguro" (dentro do possível... na vossa pasta de spam certamente continuarão a ter montes de emails a tentarem fazer-se passar por outros...)
Até ao dia em que Zach Harris, um matemático de 35 anos, recebeu um email que parecia ter sido enviado pelo Google a perguntar se estaria interessado em trabalhar para eles. Suspeitando da sua origem, Zach foi verificar os respectivos headers... e ficou admirado por descobrir que tudo batia certo!
No entanto, reparou que o Google estava a usar uma chave criptográfica (DKIM keys) de apenas 512bits para servir de assinatura de que era um email legítimo. Uma chave de 512bits permite que qualquer pessoa consiga rapidamente "quebrar o código" e assim enviar emails em nome do Google que serão considerados válidos.
Pensando que se tratava de uma prova para averiguar as suas capacidades, Zach resolveu responder à letra, enviando um email para os fundadores do Google, como se tivessem sido eles a enviar um email um para o outro.
... Resumindo a história, ele nunca obteve resposta de Larry ou Sergey, mas passados poucos dias descobriu que o Google já tinha passado a usar chaves de 2048bits, bem mais seguras.
E este mesmo problema não afecta só o Google mas também muitas outras empresas que hoje em dia continuem a usar essas chaves de 512bits. Dá que pensar em quantas mais vulnerabilidades andarão "por aí" à espera que alguém as descubra... (E imaginem só o potencial que uma falha deste tipo teria, ao permitir que spammers e phishers enviassem emails que passariam por emails autênticos, vindos de bancos, lojas, e outras entidades?)
[via Wired]
Saudades do Google Wave?
ResponderEliminar