Hackers: como eles conseguem extrair suas informações privadas?
21 de março de 2024Dean Coclin, Diretor Sênior de Desenvolvimento de Negócios da DigiCert
O Brasil é o segundo país mais vulnerável a ataques de hackers, segundo relatório da Trend Micro, empresa de soluções de segurança cibernética.
Atrás apenas dos Estados Unidos, o país teve bilhões de ameaças bloqueadas no primeiro semestre de 2023.
A empresa revelou que bloqueou no período cerca de 85,6 mil milhões de ameaças em todo o mundo, valor que representa 59% do total registado em 2022.
Os Estados Unidos, o Brasil e a Índia são os principais alvos, por ordem de incidência.
Recentemente, o The Hacker News publicou um artigo citando uma pesquisa acadêmica publicada em novembro de 2023 intitulada “Compromisso passivo de chaves SSH via Lattices”.
A pesquisa delineou uma técnica hipotética que poderia ser usada para extrair chaves RSA privadas se todas as seguintes condições estivessem presentes:
- Primeiro, um padrão de conexões confiáveis é monitorado e estabelecido.
- Em segundo lugar, uma anomalia que identificam como uma falha computacional que ocorre naturalmente gera uma assinatura defeituosa.
- Terceiro, a assinatura defeituosa mencionada acima é verificada erroneamente como se fosse confiável.
- Em seguida, o software utilizado não permite ou emprega um sistema de sinalização automatizado para identificar falhas de assinatura antes de tentar estabelecer conexões.
- Então, um parâmetro específico, mas comumente usado, para chaves SSH deve estar presente.
- Finalmente, é anterior à versão 1.3 do TLS, que foi implantada em 2018 e que já é uma contramedida conhecida porque criptografa o handshake.
A pesquisa sugere que, nessas condições, eles foram capazes de descobrir 189 chaves comprometidas porque foram implementadas com essas vulnerabilidades específicas.
Como vemos isso
Saudamos esta e todas as pesquisas que melhorem os padrões de confiança digital em todos os ecossistemas.
Com a aquisição da Mocana, que foi citada juntamente com a Cisco, a Hillstone Networks e a Zyxel como as marcas cujos clientes podem ter implementado esta vulnerabilidade rara, estão a levar esta investigação muito a sério e já tomaram contramedidas para evitar tal ataque – por mais raro que seja.
Priorizando o diálogo
Também incentivamos respeitosamente um diálogo aberto para que toda a indústria chegue às causas profundas e às soluções viáveis. Semelhante à Cisco e à Zyxel, investigamos imediatamente, mas também não conseguimos replicar o problema exato identificado na pesquisa.
Além disso, nossas descobertas também concluem que a pesquisa especulou as causas raízes potenciais, incluindo erros de memória, operações matemáticas defeituosas em software, versões de software legado, etc., que raramente poderiam causar assinaturas RSA incorretas ou defeituosas.
Como isso afeta o cliente
Antes desta pesquisa, já havíamos implantado um recurso (agora uma contramedida) para todos os clientes e parceiros para garantir que, se tal cenário fosse replicado, nenhuma chave RSA seria extraível.
A biblioteca DigiCert TrustCore SDK (anteriormente Mocana) já inclui um sinalizador automatizado para validação e integridade de assinatura RSA.
Os clientes que usam nossas bibliotecas RSA e que ainda não ativaram esse sinalizador são fortemente incentivados a ativá-lo imediatamente e, por sua vez, a impor a validação de assinatura durante o processo de assinatura – um elemento fundamental para gerenciar a confiança.
Ativar por padrão será nosso padrão daqui para frente. Isso evita que quaisquer saídas potencialmente inseguras sejam finalizadas.
Quebrando RSA
Não. Este ataque – passivo ou ativo – não quebraria o RSA porque não ataca o RSA diretamente. Em vez disso, ele explora um comportamento de implementação inesperado ou defeituoso que é conhecido por estar desatualizado e não emprega o TLS versão 1.3.
As implicações na cripto-agilidade
A pesquisa ressalta a necessidade de adotar um paradigma cripto-ágil e práticas de cripto-agilidade, especialmente para quem ainda usa qualquer versão do TLS anterior ao TLS 1.3, que foi implantado em 2018.
Os algoritmos e técnicas mais recentes são a melhor contramedida. Qualquer noção de práticas criptográficas do tipo “configure e esqueça” minará a confiança digital e potencialmente exporá vulnerabilidades ao longo do tempo, especialmente à medida que a computação quântica se tornar uma realidade.
As implicações pós-quânticas
Esse tipo de pesquisa provavelmente aumentará em frequência e gravidade à medida que a computação quântica se tornar mais estável e acelerar os testes e a descriptografia de algoritmos matemáticos difíceis.
As organizações precisarão reagir mais rapidamente a possíveis vulnerabilidades nos seus ecossistemas. Para se preparar para a criptografia pós-quântica ou PQC, devem ser tomadas medidas imediatas para descobrir, identificar e mapear um livro de registro abrangente para todos os ativos criptográficos.
Devem existir ferramentas de automação para alternar certificados e chaves para agilidade criptográfica.
Sobre a DigiCert, Inc.: A DigiCert é fornecedora líder mundial de soluções escalonáveis TLS/SSL e PKI para identidade e criptografia.
As empresas mais inovadoras, incluindo 89% das empresas listadas na Fortune 500 e 97 dos 100 maiores bancos globais, escolhem a DigiCert por sua experiência em identidade e criptografia para servidores web e dispositivos de Internet das Coisas.
A DigiCert oferece suporte a TLS/SSL e outros certificados digitais para implantações de PKI em qualquer escala por meio de sua plataforma de gerenciamento do ciclo de vida de certificados, CertCentral®.
A empresa é reconhecida por sua plataforma de gerenciamento de certificados de nível empresarial, suporte ao cliente rápido e experiente e soluções de segurança líderes de mercado.
Para obter as últimas notícias e atualizações da DigiCert, visite digicert.com ou follow@digicert.
Isis Lima
PR Analyst
isis.lima@isourcemarketing.com
+5511985381701
São Paulo, Brazil