2020/01/16
Investigadores demonstram vulnerabilidade dos certificados do Windows
O fim do Windows 7 coincidiu com uma actualização de um componente crítico no Windows, e já há exemplos que revelam como esta vulnerabilidade era perigosa, permitindo a criação de sites falsos que parecem ser legítimos.
Recorrendo ao habitual "rickroll", um investigador criou uma página com o famoso vídeo "Never Gonna Give You Up" de Rick Astley que se faz identificar como sendo o site oficial da NSA ou do Github - e que os browsers apresentam como sendo efectivamente os sites oficiais com uma ligação segura e o símbolo do cadeado, como os utilizadores mais informados farão questão de verificar.
O mesmo poderia ser feito para praticamente qualquer outro site, mas a sua aplicação prática é (felizmente) um pouco mais difícil de efectuar, sendo necessário uma conjugação de factores - que no entanto não dispensam a necessidade urgente de fazer as devidas actualizações nos sistemas Windows afectados, incluindo o Windows 7.
Há também algum conforto adicional em saber que o Chrome utilizava HPKP (HTTP Public Key Pinning) para o google.com e outros sites considerados de maior risco; e que requer uma confirmação adicional para garantir que o site é mesmo legítimo, mesmo que aparente apresentar um certificado válido como aconteceria neste caso - e que nos últimos anos evoluiu para o Certificate Transparency, também resultante da falta de confiança nalguns emissores de certificados.
Facilmente se pode imaginar o pesadelo que será estar perante uma internet onde nem a suposta garantia dada pelos certificados possa assegurar que um site é realmente o site que diz ser.
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)