Política das autoridades dos EUA da década de 1990 obrigou empresas a diminuir nível de segurança. Apesar de a medida já não estar em vigor, equipamentos continuam com fraca proteção de invasores.
Uma falha de segurança "monumental" nos equipamentos da Apple e da Google está a deixar vulneráveis a ataques de 'hackers' os smartphones e computadores das marcas, sobretudo quando os utilizadores acedem aos chamados sites "seguros" na Internet.
A falha resulta, segundo o Washington Post, de uma antiga política do governo dos Estados Unidos da América, imposta na década de 1990, que proibia a exportação de produtos com elevados níveis de encriptação para outros países, revelam os investigadores que descobriram o problema. Estas restrições foram abandonadas no final dos anos 90 mas os fabricantes continuaram a usar os mesmos softwares, que entretanto foram comercializados para todo o mundo e, inclusivamente, nos próprios Estados Unidos. A falha só foi detetada nas últimas semanas por especialistas que procuraram forçar os browsers - navegadores para a Internet - a usar a encriptação mais fraca e, em poucas horas, conseguiram acesso a palavras-passe e outras informações privadas dos utilizadores, podendo até lançar um ataque mais vasto em vários sites, apropriando-se, por exemplo, do botão de 'Gosto' na página do Facebook.
Os piratas informáticos conseguem, no limite, explorar a forma como os computadores se ligam aos 'sites' seguros, já que os navegadores trocam 'palavras chave' com as páginas da Internet de forma a verificar a sua segurança. Quando estas chaves são fáceis de identificar, os 'hackers' conseguem intercetar as comunicações.
Esta vulnerabilidade demonstra que as medidas tomadas pelas autoridades norte-americanas, incomodadas com a encriptação cada vez mais forte dos smartphones, trouxeram graves problemas de segurança, uma vez que todas as empresas tecnológicas foram obrigadas a fornecer portas de acesso aos seus sistemas para garantir que os agentes da lei não teriam problemas se, eventualmente, fosse necessário vigiar um ou mais utilizadores. Matthew D. Green, um criptógrafo da Universidade Johns Hopkins, nos EUA, que ajudou a investigar esta falha de encriptação, disse ao Washington Post que qualquer solicitação no sentido de enfraquecer a segurança acrescenta aos sistemas uma complexidade que os 'hackers' podem explorar.
A União Americana pelas Liberdades Civis (ACLU na sigla inglesa), uma ONG que defende os direitos e garantias individuais, já demonstrou preocupação com o tema e um dos especialistas em tecnologia da organização, Christopher Soghoian, disse mesmo ao Washington Post que não é possível manter, em simultâneo, "um modo seguro e um modo inseguro", pelo que esta falha terá impacto, no limite, em todos os utilizadores.
Os especialistas que descobriram a "FREAK" - que significaFactoring attack on RSA-EXPORT Keys, assim batizada porque a falha de segurança reside nas chaves de encriptação, ficaram surpreendidos. O problema foi inicialmente detetado por investigadores do laboratório francês INRIA, que realizavam testes aos sistemas de encriptação. As restrições aplicadas pelos EUA fizeram com que a encriptação dos algoritmos se fizesse a 521 bits, mas o código gerado é hoje facilmente desbloqueado e considerado "inaceitavelmente fraco" há mais de uma década. Os próprios especialistas julgavam que caíra em desuso.
Não há forma de determinar em quantos casos esta falha de segurança já terá sido usada para entrar nos computadores dos cibernautas. Investigadores como Green têm vindo, nas últimas semanas, a alertas as empresas e agências governamentais que poderão ter sido afetadas antes que o problema se tornasse público, o que viria a acontecer na segunda-feira, quando uma empresa que fornece serviços de armazenamento na nuvem relatou no seu blog os esforços em curso para mitigar a falha.
De acordo com o Washington Post, os sites do FBI e da Casa Branca já efetuaram as correções necessárias, mas o portal da NSA (Agência de Segurança Nacional) permanece vulnerável a ataques de pirataria informática. A Apple está já a preparar uma atualização de segurança que resolverá os problemas nos seus smartphones e computadores e a Google sublinhou que o seu navegador, o Chrome, não é vulnerável ao FREAK, apenas o browser instalado nos dispositivos Android. A empresa já garantiu que nas próximas semanas vai fornecer aos seus "parceiros" as respetivas atualizações para o sistema operativo que resolvem o problema nos smartphones.
Fonte: DN
Sem comentários:
Enviar um comentário