2020/01/16

Investigadores demonstram vulnerabilidade dos certificados do Windows


O fim do Windows 7 coincidiu com uma actualização de um componente crítico no Windows, e já há exemplos que revelam como esta vulnerabilidade era perigosa, permitindo a criação de sites falsos que parecem ser legítimos.

Recorrendo ao habitual "rickroll", um investigador criou uma página com o famoso vídeo "Never Gonna Give You Up" de Rick Astley que se faz identificar como sendo o site oficial da NSA ou do Github - e que os browsers apresentam como sendo efectivamente os sites oficiais com uma ligação segura e o símbolo do cadeado, como os utilizadores mais informados farão questão de verificar.

O mesmo poderia ser feito para praticamente qualquer outro site, mas a sua aplicação prática é (felizmente) um pouco mais difícil de efectuar, sendo necessário uma conjugação de factores - que no entanto não dispensam a necessidade urgente de fazer as devidas actualizações nos sistemas Windows afectados, incluindo o Windows 7.

Há também algum conforto adicional em saber que o Chrome utilizava HPKP (HTTP Public Key Pinning) para o google.com e outros sites considerados de maior risco; e que requer uma confirmação adicional para garantir que o site é mesmo legítimo, mesmo que aparente apresentar um certificado válido como aconteceria neste caso - e que nos últimos anos evoluiu para o Certificate Transparency, também resultante da falta de confiança nalguns emissores de certificados.

Facilmente se pode imaginar o pesadelo que será estar perante uma internet onde nem a suposta garantia dada pelos certificados possa assegurar que um site é realmente o site que diz ser.

Sem comentários:

Enviar um comentário (problemas a comentar?)

[pub]