O pesquisador brasileiro da Kaspersky, Fábio Assolini, identificou um novo vírus com a capacidade de falsificar a identificação SSL, o certificado mostrado como um “cadeado” ao acessar uma página. Este ícone costuma representar um site que conta com o selo de “seguro”, fornecido por uma autoridade neste quesito.
O SSL
Para entender melhor, veja de maneira rápida como funciona o certificado SSL. Quando um navegador (independente de qual seja: Firefox, Internet Explorer, Opera, Chrome, etc.) acessa uma URL da internet que possui identificação como sendo “segura”, ele solicita o envio do Certificado Digital.
Em seguida, ele checa três informações: se o certificado enviado é confiável, se ele é válido e se está relacionado com o site que o enviou. Uma vez checadas estas informações, as mensagens são trocadas. Inclusive é daí que vem a simbologia do cadeado, pois há a “abertura” de uma chave pública previamente criptografada por uma privada (simétrica).
Como o vírus age
Como não é possível “duplicar” um certificado digital ou conseguir uma segunda assinatura para um mesmo endereço, o malware (que ainda não possui um nome específico) instala uma “autoridade certificadora”. Dessa forma, no processo de resposta, ele informa ao navegador que o site é seguro, inclusive enviando as informações do certificado.
Assim, os programadores maliciosos por trás do malware, conseguem reproduzir uma certificação que já existe, autenticada da maneira como seria por uma autoridade confiável. Como para o browser, tudo está da maneira correta, ele acredita na certificação falsa e não envia um alerta ao usuário.
A partir da conclusão do ataque, sempre que o usuário acessar uma página de banco ou email com o cadeado de segurança pode ser redirecionado para um site falso. Isso faz com que as informações privadas (como senhas) possam ser decodificadas por um terceiro e roubadas.
Fique de olho em atualizações do Java
O especialista da Kaspersky também observou que o malware utiliza applets do próprio Java (em uma versão que esteja vulnerável) para invadir e instalar-se no computador. Para garantir sua permanência no sistema, ele instala um driver malicioso que impede sua remoção por meio de ferramentas apropriadas.
Ao mesmo tempo, ele retira uma chave presente nos registros que notificam o usuário que há novas atualizações para o Java. Desta maneira, ele garante que a versão vulnerável permaneça em seu computador enquanto apaga os softwares de segurança padrão (certificações de bancos e outras).
Formas de prevenção
Uma maneira de identificar um certificado falso é solicitando as informações de certificação digital quando o navegador acessar uma página com o cadeado. Como a certificação apresentada pelo malware é falsa, o campo “emitido por” pode aparecer com o endereço da própria página em vez da autoridade apropriada (ao contrário do que mostra a imagem abaixo), por exemplo.
Lembre-se de que esta vulnerabilidade não é dos protocolos de segurança do cadeado, mas sim um vírus que “instala” uma certificação falsa. Também valem as dicas de sempre: mantenha seu antivírus e outras ferramentas de segurança sempre atualizadas.
Fique atento às atualizações do Java também, uma vez que o malware se utiliza de applets específicas para entrar.
Categorias