Um grave alerta de segurança surgiu em torno do 1.1.1.1, um dos serviços de DNS mais usados na internet. Vários certificados TLS foram emitidos de forma indevida em Maio, mas o problema só veio a público nos últimos dias. Estes certificados poderiam, em teoria, permitir que atacantes interceptassem e decifrassem tráfego DNS encriptado, comprometendo a protecção prometida pelo uso do DNS over HTTPS e DNS over TLS.
Os certificados foram emitidos pela Fina RDC 2020, uma autoridade subordinada à Fina Root CA, que é reconhecida pelo programa de certificados da Microsoft no Windows. Isso significa que utilizadores do Microsoft Edge poderiam estar em risco; sendo que outros browsers como o Chrome e Firefox estavam a salvo, por não terem esta empresa na lista de provedores de confiança. A Apple também confirmou que o Safari não inclui a Fina na sua lista de entidades de confiança.
A Cloudflare, responsável pelo 1.1.1.1 em conjunto com a APNIC, confirmou que nunca autorizou a emissão destes certificados. A empresa disse ter iniciado de imediato uma investigação e contactado a Microsoft, a Fina e as autoridades competentes para revogar a confiança nos certificados. A Microsoft respondeu bloqueando-os através da sua lista de exclusões e afirmou estar a trabalhar com a entidade emissora para resolver a situação. Sendo que, do lado da Fina, a explicação é a de que os certificados foram emitidos apenas para efeitos de testes, e que nunca saíram de um ambiente isolado - mas sem que isso explique porque sequer foram emitidos sem que antes fosse pedida autorização à entidade responsável.
O risco principal é que alguém na posse destes certificados poderia fazer-se passar pelo 1.1.1.1, permitindo ataques de "man-in-the-middle" para espiar ou manipular o tráfego dos utilizadores. Apesar de não haver provas de exploração até agora, o incidente mostra como a confiança no sistema global de certificados é frágil, e como um único ponto de erro pode ameaçar toda a infraestrutura central da internet. Tal como neste caso aconteceu para o 1.1.1.1, poderia igualmente acontecer para qualquer outro domínio popular, como o google.com, gmail.com, ou qualquer outro.
Sem comentários:
Enviar um comentário (problemas a comentar?)