Já todos ouvimos notícias sobre a quebra de segurança da Yahoo, que espalhou informações pessoais de 1 bilião de utilizadores. Ou da cadeia de lojas Target, que colocou os dados dos cartões de crédito de milhões de pessoas nas mãos de ciber-criminosos.
Mas em 2011 ocorreu um ataque informático que muitos nunca ouviram falar. No entanto, foi tão importante que pôs em causa a forma como toda a infraestrutura da Internet funciona.
Tudo começou com um utilizador no Irão que não conseguiu fazer login na sua conta do Gmail. Este manifestou o problema no fórum de ajuda e, para sua surpresa, a Google fez rapidamente um comunicado de imprensa acerca da situação, colocando a culpa do problema numa empresa holandesa chamada DigiNotar. O governo holandês tomou imediatamente controlo da empresa e, pouco tempo depois, a DigiNotar faliu.
Mas como é que uma empresa da qual nunca ouvimos falar pode ser responsável por uma falha técnica da Google?
A DigiNotar é aquilo a que chamamos uma Autoridade de Certificação – ou CA (do inglês Certificate Authority). Isto significa que ela emite certificados virtuais para websites e softwares, garantindo que são seguros para navegar e fazer download. É nestas empresas que os browsers se apoiam para assegurar que a página que estamos a tentar abrir não é apenas um malware a tentar roubar os nossos dados de login, por exemplo.
Existem centenas de CAs, mas há algumas – como a DigiNotar – em quem os browsers confiam automaticamente, por terem uma boa reputação no mercado. Estas CAs de “elite” têm autoridade para recomendar outras CAs intermediárias que, por sua vez, podem emitir certificados para qualquer website à sua escolha. A falta de transparência e controlo deste ecossistema tem, portanto, tudo para correr mal.
Para um hacker, as CAs são especialmente tentadoras: assumir o controlo da sua rede pode permitir a difusão de centenas de ameaças virtuais, como infetar computadores com malware e phishing. Por isso, para empresas como a DigiNotar, a segurança não só é importante, como é a própria razão para a sua existência.
A DigiNotar era uma das CAs de confiança do Google Chrome. E o escândalo ocorreu quando os hackers conseguiram entrar na rede da DigiNotar e começaram a emitir certificados digitais falsos. O website que o tal utilizador no Irão tentava aceder era apenas uma página falsa para a qual tinha sido redirecionado, desenhada para parecer exatamente igual ao Gmail. Porquê? Provavelmente para o governo do Irão – que já é conhecido por interferir com a atividade online – espiar a atividade de alguns cidadãos.
O que realmente salvou a Google foi o seu próprio browser – o Google Chrome. O browser não aceitava certificados desconhecidos para os seus próprios domínios, por isso, quando o utilizador iraniano tentou aceder a uma página falsa, a Google soube imediatamente que algo estava errado.
O caso DigiNotar foi um verdadeiro abrir de olhos para a indústria. A Certificate Authority Security Council já definiu novas medidas de segurança que estas empresas têm de cumprir para assegurar a proteção dos dados de todos os utilizadores.
Mas mudar todo este ecossistema não é particularmente fácil: As CAs lucram ao vender certificados e, por isso, querem vender o máximo possível. Por outro lado, os browsers competem entre si, e não querem estar constantemente a impedir os utilizadores de visitar websites que não são certificados.
A “febre” da rapidez e inovação na nossa sociedade está a conduzir as empresas em direção a novas formas de trabalhar e sistematizar a informação. Rápidos avanços na tecnologia e a constante pressão sobre as empresas para criar aplicações e serviços inovadores faz com que tenhamos de gerar cada vez mais certificados digitais e chaves encriptadas. Muitas empresas têm dificuldade em gerir tudo isto, já que algumas nem fazem ideia da quantidade de certificados que possuem para os seus domínios. E já percebemos que nem empresas como a Google estão livres deste caos.
Os certificados digitais são o pilar da segurança e privacidade na Internet. Colocar em perigo esta defesa é abrir uma porta para atacantes, que facilmente vão aproveitar estas fendas para esconder ameaças potencialmente desastrosas.
Por isso, da próxima vez que o seu browser lhe indicar que o website a que está a tentar aceder não tem um certificado SSL válido, pense duas vezes antes de prosseguir.