Freak: PCs também estão vulneráveis a ataques de bug dos anos 90

Por Redação | 06 de Março de 2015 às 13h32

Uma biblioteca de criptografia usada em todas as versões do Windows também está vulnerável ao Freak (Factoring attack on RSA-EXPORT Key). O bug permite que hackers forcem clientes e servidores a usar uma criptografia fraca, facilitando seu acesso aos dados.

O Freak é resultado de uma política criada pelo governo dos Estados Unidos na década de 1990, e que já foi extinta há muito tempo. Essa regra obrigava empresas a limitar a força das chaves de criptografia dos websites para não dificultar o acesso do governo às informações, quando necessário.

Porém, uma equipe de pesquisadores descobriu recentemente que muitos navegadores web ainda estão programados para fornecer as chaves de 512-bit quando requeridos. E é aí que os hackers podem agir.

Assista Agora: Gestor, descubra os 5 problemas que suas concorrentes certamente terão em 2019. Comece 2019 em uma nova realidade.

A vulnerabilidade foi divulgada no início dessa semana, e, na ocasião, os resultados dos testes apontaram que cerca de 36% de todos os sites HTTPS habilitados com certificados de confiança do navegador eram potencialmente vulneráveis. Chrome para iOS, Safari, Opera e os navegadores para BlackBerry e Android foram considerados vulneráveis.

Porém, na última quinta-feira (05), a Microsoft emitiu um alerta de segurança dizendo que uma biblioteca de criptografia inclusa em todas as versões suportadas do Windows também estava vulnerável, a Secure Channel (Schannel). Isso significa que o Internet Explorer e outros programas que dependem do pacote de segurança do Schannel também estão afetados.

O aviso de segurança da Microsoft inclui uma solução que envolve a desativação da chave privada RSA por meio do "Editor de Objeto de Diretiva de Grupo". No entanto, isso poderia fazer com que os servidores passassem a recusar conexões que não suportem os demais pacotes de segurança. A solução sugerida também não pode ser aplicada no Windows Server 2003, pois a arquitetura de gerenciamento de chaves da plataforma não permite ativar ou desativar chaves individuais.

Pesquisadores da Universidade de Michigan, nos Estados Unidos, criaram um site intitulado Freak Attack que é capaz de verificar se o navegador do usuário está vulnerável ao Freak ou não. A página também traz informações sobre os esforços das empresas para sanar o problema, bem como uma lista dos sites HTTPS mais populares que foram afetados.

Gostou dessa matéria?

Inscreva seu email no Canaltech para receber atualizações diárias com as últimas notícias do mundo da tecnologia.