Vulnerabilidade em sistema de sincronização coloca HTTPS em risco

Por Redação | 23 de Outubro de 2015 às 12h40

Parece que o HTTPS não é necessariamente o método superseguro que muita gente acreditava ser. Nesta semana, um grupo de especialistas da Universidade de Boston, nos EUA, descobriu uma falha grave nos sistemas de sincronização do protocolo, que poderia permitir a interceptação de dados criptografados, problemas com transações de Bitcoin, por exemplo, ou a retirada de sites inteiros do ar.

Os peritos localizaram um problema no Network Time Protocol, um sistema usado para sincronizar os relógios internos de todos os computadores envolvidos em uma conexão, de forma a garantir que eles estejam no mesmo dia e horário. A partir de uma falha nessse sistema, foi possível adiantar ou atrasar tais configurações, abrindo as portas para os ataques que poderiam, na visão dos responsáveis pelo estudo, “causar caos na internet”.

Normalmente, esse tipo de proteção está funcionando para evitar que computadores com certificados de segurança desatualizados – ou seja, suscetíveis a falhas – se conectem. Por meio dessa vulnerabilidade, é exatamente isso que acontece, e a utilizando, hackers são capazes de burlar a proteção e inserirem em uma rede, por exemplo, as máquinas que podem realizar a espionagem e o roubo de dados, ou usar a manipulação nas datas para invalidar transações já realizadas via internet, constituindo fraude e causando prejuízos.

Segundo os especialistas, todos os testes com a vulnerabilidade foram bem-sucedidos, mas realizados em laboratório, e não dá para saber ao certo se essa brecha já foi ou pode ser utilizada na prática. Apesar de parecer grave, ela também é facilmente identificável, já que na visão dos peritos, qualquer usuário perceberia rapidamente que seu computador está infectado e exibindo uma data alguns anos no passado. Isso também poderia causar erros no acesso à internet ou em navegadores, o que acabaria expondo o problema.

Por outro lado, eles não descartam a hipótese que outros métodos possam ser utilizados em conjunto, de forma a fazer com que, visualmente, tudo pareça bem, dificultando a identificação do problema. Os especialistas colocaram no ar uma página especial para ajudar eventuais atingidos pela falha, com possíveis soluções para o problema e indicações de melhores práticas para contê-lo.

Fonte: Ars Technica