por Silvio Meira

internet insegura: certificados furados…

i

você pode até não saber [e nem precisa] mas quando um site [como seu banco] se diz "seguro", é porque um terceiro [uma autoridade certificadora, ou CA] emite um certificado dizendo que seu banco é seu banco e seu browser acredita nisso. há muitas formas de emitir e assinar tais certificados e uma delas, chamada MD5, usada por muita gente boa, tem deficiências conhecidas.

conhecidas mas… muito difíceis de calcular, decodificar e usar para, na prática, assumir o controle de uma parte de alguma rede e "fazer de conta", de forma que seu browser acredite, que um outro site que não é seu banco é… seu banco.

isso até agora: um grupo de especialistas, usando um conjunto de novos resultados sobre [in]segurança de informação e um cluster de 200 PS3 acaba de detonar a segurança de MD5 e, por conseguinte, a de todos os sites que usam SSL [secure socket layer] assinados por criptografia MD5. simples assim. leia os detalhes aqui. [mas os detalhes, em detalhe, são muito complexos e obscuros e não estão explicados no link anterior; você pode ver um pouco mais neste link].

mesmo assim, o mundo ainda não acabou. a galera por trás da descoberta é do bem e estima que levará uns seis meses para que outros grupos repitam seu feito. e olha que, ao invés de um super-computador, eles só usaram uns consoles de games, que qualquer um de nós pode comprar por R$1.000 a unidade. imagine o retorno do investimento, sobre R$200 mil, se alguém conseguir fingir, com sucesso, por um dia que seja, que é o meu [ou o seu] banco por algumas poucas horas…

as forças do mal estão investindo, cada vez mais intensamente, em formas de roubar na internet, que se trata de um tipo de crime muito mais seguro, inclusive para os ladrões. a polícia federal brasileira estima que quase todos os crimes financeiros dignos de nota serão, em pouco tempo, realizados na rede.

pensando bem, é hora de ligar pro meu –e pro seu- banco e perguntar se eles são certificados por alguma forma de criptografia que envolve MD5. se a resposta for sim [ou não sei], é melhor fazer mais, muito mais perguntas até ter certeza de que o banco e as lojas online que usamos são, verdadeiramente, seguras.

Sobre o autor

Silvio Meira

silvio meira é cientista-chefe da TDS.company, professor extraordinário da CESAR.school e presidente do conselho do portodigital.org

por Silvio Meira
por Silvio Meira

Pela Rede

silvio meira é PROFESSOR EXTRAORDINÁRIO da cesar.school, PROFESSOR EMÉRITO do CENTRO DE INFORMÁTICA da UFPE, RECIFE e CIENTISTA-CHEFE, The Digital Strategy Company. é fundador e presidente do conselho de administração do PORTO DIGITAL. silvio é professor titular aposentado do centro de informática da ufpe, fundou [em 1996] e foi cientista-chefe do C.E.S.A.R, centro de estudos e sistemas avançados do recife até 2014. foi fellow e faculty associate do berkman center, harvard university, de 2012 a 2015 e professor associado da escola de direito da FGV-RIO, de 2014 a 2017.

Silvio no Twitter

Arquivo