• Criptografia Insegura Favorece Falsificação de E-mails do Google

    Zach Harris, um matemático que vive na Flórida, descobriu que o Google e muitas outras grandes empresas de Internet estão utilizando chaves de criptografia extremamente fracas para a certificação dos e-mails enviados a partir de seus domínios corporativos. Isso é sinônimo de uma vulnerabilidade que pode ser facilmente explorada por spammers e phishers para entregar e-mails que, para todos os efeitos, parece que foram enviados pelas empresas em questão.






    Sistema de criptografia irrelevante possibilitou falsificações em e-mails do Google, fazendo com que os acessos antigos fossem revogados

    Segundo a especialista Wired, esse esquema cibercriminoso foi descoberto quase por um acaso, depois do recebimento de um e-mail de um recrutador de trabalho do Google. Assim, ao duvidar de sua autenticidade, ele verificou as informações de e-mail de cabeçalho, e parecia ser legítimo. Além disso, houve a percepção de que o Domain Keys Identified Mail que a empresa utiliza para os e-mails google.com era de apenas 512 bits de extensão e, portanto, poderia ser atacado dentro de poucos dias, sendo favorecido peo sistema de computação em nuvem.

    Acreditando que este seja um teste de recrutamento pelo qual todos os que tem interesse em ser convocados para o trabalho precisam passar, foi decidido quebrar a chave e utilizá-la ao enviar e-mails a dois fundadores do Google, fazendo parecer a cada um deles, como se estivesse vindo de de outro, mas também incluindo o seu endereço de e-mail no retorno. Tendo recebido resposta considerada suspeita (nos próximos dias), ele começou a duvidar de sua impressão inicial e foi verificar a chave criptográfica do Google.

    Dessa forma, ele então, descobriu que a chave tinha sido alterada para a sua extensão padrão, levando-o a concluir que o Google não tinha, obviamente, que estar ciente desta vulnerabilidade até o momento em que recebeu os e-mails. Tendo seu interesse despertado, ele passou a verificar se outras empresas populares, serviços online e redes sociais estavam vulneráveis ​​ao ataque, e descobriu que o PayPal, eBay, Apple, Amazon, Twitter, e muitas outras empresas - incluindo vários bancos - estavam utilizando chaves de 384 bits, 512 bits ou 768 bits chaves.

    Mas veio a boa notícia: desde a sua descoberta, ele contatou todas as empresas com esta informação e a maioria delas já emitiu novas chaves para os domínios e revogou os antigos, a fim de frustrar os potenciais ataques de phishers. A má notícia é que eles encontraram uma falha semelhante nos domínios de recebimento, o que muitas vezes aceitavam chaves DKIM (para fins de testes), verificando os e-mails como legítimos ao invés de "não assinados".


    Saiba Mais:

    [1] Help Net Security http://www.net-security.org/secworld.php?id=13833