Milhões servidores Web têm chaves privadas conhecidas publicamente

Publicado em 15/09/2016 00:39 em Segurança Informática

A empresa de segurança informática britânica Sophos revelou que quatro milhões e meio de servidores web têm chaves privadas que são realmente conhecidas publicamente.

Num comentário no seu blogue oficial assinado por Paul Ducklin, a Sophos indica que em 2015 um estudo da consultora de segurança SEC Consult verificou que havia 3,2 milhões de servidores Web com chaves privadas que não eram realmente privadas, porque eram conhecidas e detectáveis, mas nove meses depois o número de servidores nessa situação aumentou pata 4,5 milhões.

A Sophos salienta que a maior parte dos algoritmos de encriptação funcionam como as fechaduras das nossas portas, que fecham numa rotação e abrem com uma operação simétrica, um sistema simples e rápido mas que implica fornecer uma cópia da chave a quem tem de desencriptar, com risco de ser copiada no percurso do envio.

Observa que no mundo do comércio electrónico, a encriptação simétrica não é muito usada porque se recebem encomendas e pagamentos de clientes com quem muitas vezes nunca se contactou e que não se conhecem pessoalmente, e usa-se um sistema de encriptação pública, também chamada encriptação assimétrica, desenvolvida nos anos 70 em paralelo e independentemente no Reino Unido e nos Estados Unidos.

A encriptação assimétrica gera chaves públicas e privadas em pares, um processo muito mais lento mas que demora poucos segundos em computadores com bom desempenho.

A Sophos destaca que, na encriptação assimétrica, chave privada significa realmente privada porque quando feito correctamente a chave pública é tornada pública mas a chave privada com que está emparelhada não é conhecida.

Contudo, quando se obtém a chave privada é possível um servidor Web impostor fazer-se passar pelo original, apresentando-se como o sítio oficial original, ou assinar digitalmente software que se apresenta como uma «release» do original.

A Sophos aconselha a quando se cria firmware para dispositivos vendidos não partilhar nem reutilizar chaves privadas, antes personalizar as chaves em cada dispositivo, a só activar a administração remota quando é realmente indispensável e a usar uma autenticação com dois factores para utilizadores externos, para reduzir o risco de acesso com palavras passe roubadas.

Ainda sem comentários