Em uma tarde de uma sexta-feira em meados do mês de fevereiro, a Apple publicou discretamente uma solução para um bug crítico de validação do certificado no iOS que, essencialmente, poderia ter proporcionado a um cibercriminoso a capacidade de espionar as comunicações supostamente seguras.
Embora o bug foi crítico, o anúncio tardio em uma sexta-feira não poderia ser mais inadvertido, mas ainda assim é o este é um padrão da Apple. A gigante da informática com sede em Cupertino, na Califórnia, é bem conhecida por operar atrás de um véu de segredo lendário.
No entanto, as cabeças se viraram e os interesses foram despertados no dia seguinte quando se descobriu que o erro não só afetou iOS móveis do sistema operacional da Apple, mas também o seu sistema operacional tradicional OSX. O enredo engrossou ainda mais na semana passada, quando se tornou evidente que um bug estranhamente similar afetou GnuTLS, uma programa de software livre e de código aberto usado para implementar a criptografia em várias distribuições Linux e outras plataformas.
Quanto mais as pessoas olharam para os bugs (particularmente as da Apple), mais meios de comunicação e pesquisadores publicaram sugestões de subterfúgio. Bruce Schneier, um dos especialistas em criptografia e espescialista em segurança do mundo, descreveu a vulnerabilidade da seguinte forma:
“A falha é sutil e difícil de detectar durante a digitalização do código. É fácil imaginar como isso poderia ter acontecido por erro. E que teria sido trivialmente fácil para uma pessoa aumentar a vulnerabilidade. Se isso foi feito de propósito? Eu não tenho idéia. Mas se eu queria fazer algo assim de propósito, isso é exatamente que eu faria”
Outros pesquisadores foram mais diretos, desafiando que os erros de codificação que levaram ao erro da Apple – apelidado de “Goto fail” – seria quase impossível de cometer e ainda mais difícil de se perder no processo de revisão de codificação. É claro que, dado o clima atual e o utilitário da vulnerabilidade ‘Goto fail”, muitos têm especulado que tanto os erros da Apple como os de GnuTLS seriam muito valiosos para qualquer pessoa no negócio de espionagem.
Embora, sem dúvida coincidentes e similares de fato, os erros vieram a existir em formas completamente diferentes. Outro especialista crypto, Matthew Green, da Johns Hopkins University, analisou o bug GnuTLS e acredita que foi um honesto – embora muda – erro de codificação.
Todas as conspirações à parte, esta falha de validação de criptografia em GnuTLS significa que toda a área de trabalho e produtos de servidor Red Hat, bem como todas as instalações Debian e Ubuntu (Linux) contêm um bug que poderia ser explorado para monitorar as comunicações que ocorrem nessas máquinas. Os efeitos deste bug afetou sistemas de baixo para cima. Não só as suas sessões seguras web- browsing (como indicado por “https”) poderiam ser afetadas, mas também suas aplicações, downloads e realmente quaisquer outras comunicações supostamente criptografadas que usam GnuTLS para a implementação.
Para ser claro, o cibercriminoso precisa estar em uma rede local com o seu alvo para poder explorar qualquer um desses bugs. No entanto, sob as circunstâncias adequadas, os erros poderiam permitir que um hacker execute um ataque man-in -the-middle, em que a vítima acredita que ele ou ela está se comunicando com um provedor de serviços online de confiança, mas o fato é que está enviando pacotes de dados a um cibercriminosos na rede. Ambos os erros oferecem uma ótima maneira de roubar as credenciais de login e vigiar as comunicações locais em rede.
“A verdade é que não poderia ser pior”, disse Kenneth White, especialista em segurança e principal cientista da Social & Scientific Systes, na Carolina do Norte. “Um hacker pode trivialmente forjar qualquer domínio arbitrário e fazer parecer autoritário e confiável para o solicitante. Assim, não só interceptar canais sensíveis, mas (também) potencialmente subverter o processo de assinatura do pacote de confiança.”
Em outras palavras, é possível falsificar os tipos de informações de certificados de confiança que permite ao usuário saber quem desenvolveu o software ou a aplicação que os usuários está a ponto de fazer o download.
Se você executar uma máquina com Linux, então você provavelmente está vulnerável. Recomendamos instalar a atualização mais recente para a sua distribuição Linux o mais rápido possível. Se você não executar um dos muitos sistemas operacionais Linux disponíveis, não significa necessariamente que você está seguro. O GnuTLS é pacote de software de código aberto amplamente implantado, que é executado em um número desconhecido de sistemas. A moral da história aqui, como sempre: instalar patches frequentemente e o mais rápido possível.
Tradução: Juliana Costa Santos Dias
Dicas