Gmail é vítima de certificado SSL falso

 

Pesquisadores de segurança identificaram um certificado de segurança online falso, que fora desenvolvido para permitir que crackers espionem e-mails e comunicações de usuários do Google.O certificado forjado foi identificado primeiramente por um internauta iraniano, que cogitou que esta ação poderia ser parte dos esforços do governo do Irã em monitorar os dissidentes.

A falha foi encontrada nos protocolos de segurança SSL (Secure Sockets Layer), que deveriam agir como uma ferramenta independente para verificar que a comunicação entre site e browser é segura.

O problema traz um alerta também para uma queda na confiança do protocolo, que também é amplamente utilizado para autenticar todos os tipos de tráfego sensível na web, incluindo internet banking.

O forjamento do certificado foi emitido pela DigiNotar, uma autoridade alemã de certificados SSL. Por mais de dois meses a empresa teria permitido que os criminosos fizessem versões falsas dos sites do Google.

Desta forma, os crackers tiveram acesso aos nomes de usuários e senhas de contas genuínas do Google. O certificado forjado era válido para todos os subdomínios do Google, incluindo o Gmail.

A DigiNotar informou que detectou em julho uma invasão em sua infraestrutura de certificação, o que resultou na emissão fraudulenta de solicitações de certificados para diversos domínios, incluindo o Google.com.

Com isto, as principais produtoras de navegadores (Google, Microsoft e Mozilla) disseram que usarão pacotes de software para revogar a autoridade da DigiNotar em emitir certificados SSL no futuro.

O problema só não foi maior, pois o navegador Chrome possui embutido os certificados de segurança genuínos do Google, e desta forma foi capaz de detectar o SSL forjado quando acessava uma página falsa.

O Google, por sua vez, afirmou que devido a essas medidas de segurança presentes no Chrome, seus usuários foram protegidos e acabou revelando este tipo de ataque ao público.

Fonte:http://info.abril.com.br/noticias/seguranca/gmail-e-vitima-de-certificado-ssl-falso-30082011-13.shl

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s