exameinformatica

Uma parceria EXPRESSO

Siga-nos nas redes

Perfil

Software

Todas as versões do Windows têm vulnerabilidade FREAK

Os sites da Casa Branca, da NSA e do FBI estão vulneráveis a ataques que tiram partido de uma encriptação. A Microsoft confirmou que todas as versões  dos Windows têm o mesmo problema.

  • 333

A história da vulnerabilidade FREAK começou a ser escrita no início dos anos 1990, quando a NSA incentivou a Netscape a usar criptografias de 40 e 128 bits. A intenção era boa – mas acabou por produzir efeitos indesejados passados mais de 20 anos. No ano 2000, os browsers adotaram criptografias mais robustas. O que também pode ser encarado como uma decisão cheia de boas intenções. Só que o inferno está cheio de boas intenções – e de criptografias obsoletas. Nos últimos 15 anos, foram sendo adicionadas criptografias mais robustas, mas aquelas que eram usadas nos anos 1990 mantiveram-se disponíveis para quem as quisesse ativar. Hoje há milhões de sites que continuam a aceitá-la. E mais: todas versões do Windows também estão vulneráveis, confirmou a Microsoft.

Nos anos 1990, a FREAK apenas teria o significado de “tresloucado” ou “esquisito”. Em 2015, tornou-se também o acrónimo de Factoring RSA Export Keys, a tal vulnerabilidade que tem origem no uso de encriptação RSA já ultrapassada. Os laboratórios de investigação IMDEA, de Espanha, e INRIA, de França, são, juntamente com a Microsoft, os padrinhos de batismo da FREAK. 

Segundo os investigadores, a vulnerabilidade ocorre sempre que alguém força um browser, um sistema operativo, ou um site a usar criptografia mais antiga, que pode ser facilmente “vencida” por alguém com alguns conhecimentos na matéria e o uso de servidores que suportem os cálculos necessários (há relatos de quem tenha demorado sete horas a conseguir vencer um destes sistemas de encriptação com recurso a servidores alugados pela Amazon).

Além da interceção das comunicações e de passwords, a FREAK pode ser usada para alterar as páginas de um site. A ZDnet refere ainda que o uso forçado de versões de encriptação antigas afeta soluções RSA entre os 40 bits e os 512 bits. Milhões de sites estarão vulneráveis a esta falha - entre eles, os da Casa Branca, NSA e FBI. E Portugal não será exceção. João Miguel Neves, perito em tecnologias radicado no Reino Unido, não perdeu a oportunidade e fez fez um teste simples com alguns sites bancários, à semelhança do que já tinha feito quando se conheceu a falha batizada de Poodle. O panorama está longe de ser assustador, mas revela que quatro bancos que operam no País ainda permitem o recurso a encriptação antiga.

O cenário tenderá a tornar-se mais sombrio se se tiver em conta que, ao contrário do que chegou a ser aventado no início, a falha não está limitada ao Safari, da Apple, e aos browsers Android. A Microsoft também confirmou que a falha afeta todos os Windows. «A nossa investigação concluiu que esta vulnerabilidade permite que um hacker force o uso de versões anteriores às cifras SSL/TLS em ligações com os sistemas do Windows», comunicou a companhia. 

A Microsoft informou que pretende disponibilizar mecanismos que permitem a “exportação” de cifras RSA e admitiu lançar uma atualização para os milhões de máquinas que usam Windows em todo mundo.