Pouco mais de uma semana atrás, a Google anunciou que encontrou certificados digitais fraudulentos em alguns de seus domínios. Esses certificados tinham sido gerados pelo Centro Nacional de Informática (NIC) da Índia, autoridade responsável pela geração de certificados de confiança nesse país.
O fato desses certificados estarem no programa Windows Root Certificate Program Members da Microsoft faz com que os mesmos sejam confiáveis para a maioria dos programas para o Windows, como o browser Internet Explorer. Desde a sua descoberta já foram encontrados domínios que pertencem ao Google, Yahoo e outros mais.
O problema ainda está sendo investigado pela autoridade geradora de certificados na Índia, porém muitos dos certificados vitais para a privacidade de conteúdos na Internet já foram revogados. A Microsoft anunciou no dia 10 de julho passado que está ciente do incidente e já emitiu o Microsoft Security Advisory 2982792, no qual indica que está atualizando a sua lista de certificados de confiança.
Quais são as consequências desse incidente?
O problema com os certificados digitais fraudulentos é que eles podem ser utilizados por atacantes com o objetivo de simular ser de empresas de confiança como as que já mencionamos e infectar computadores com diversos tipos de malware, possibilitar a implementação de ataques MITM e lançar campanhas de phishing muito mais efetivas.
Existem recomendações para usuários de Windows:
- Windows 8, Windows 8.1, Windows RT, Windows RT 8.1, Windows Server 2012 y Windows Server 2012 R2, e também dispositivos com Windows Phone 8 ou Windows Phone 8.1 com atualizador automático de certificados revogados, não precisam fazer nada, já que a lista de certificados de confiança será atualizada pela Microsoft de forma automática.
- O mesmo serve para sistemas com Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 com atualizador automático de certificados revogados (ver Artigo da Base de Conhecimentos da Microsoft 2677070 para obter mais detalhes)
- Sistemas com Windows Vista, Windows 7, Windows Server 2008 ou Windows Server 2008 R2 sem atualizador automático de certificados revogados necessitam instalá-lo (ver Artigo da base de Conhecimentos da Microsoft 2677070). Usuários em ambientes sem conexão y que utilizam Windows Vista, Windows 7, Windows 8, Windows Server 2008, Windows Server 2008 R2, ou Windows Server 2012 podem instalar a atualização 2813430 (ver Artigo da Base de Conhecimentos Microsoft 2813430 para obter mais detalhes).
Vemos hoje em dia que até os protocolos seguros como o HTTPS podem ser explorados por cibercriminosos, e isso acontece já que não importa quão seguro seja um sistema, temos sempre que considerar o fator humano, que é imperfeito.
Alertas, atualizações e patches jamais devem ser ignorados, já que o universo digital programado por pessoas imperfeitas tem falhas e/ou vulnerabilidades, além de criminosos dispostos a explorá-las.
O positivo é que soluções para os problemas mencionados também continuarão existindo, assim que façamos a nossa parte para poder disfrutar a tecnologia sem medo.
Autor Ilya Lopes, ESET
