ÁREA DO CLIENTE
A fabricante de antivírus Kaspersky Lab alertou na semana passada que uma praga digital brasileira, criada com a finalidade de roubar senhas bancárias, conseguiu uma assinatura digital válida da Comodo, empresa de segurança que atua em diversos segmentos.
Assinaturas digitais deveriam identificar quem é o autor de um código, mas a Comodo não explica como um criador de vírus conseguiu provar que ele é quem ele não é.
O vírus estava assinado em nome de uma empresa chamada “Gas Tecnology”, uma referência dos criadores de vírus à empresa GAS Tecnologia, que desenvolve soluções para a segurança de bancos. Não há relação do vírus com a empresa – os criadores de pragas digitais brasileiros, por terem que “enfrentar” as defesas da GAS, não raramente colocam referências à companhia nos códigos, como nomes de arquivos semelhantes e até mensagens.
Conseguir uma assinatura digital, porém, foi um tanto mais ousado.
Assinaturas digitais
A assinatura digital no arquivo muda duas coisas. A primeira é que o arquivo não poderá ser modificado tão facilmente por um vírus sem, também, invalidar a assinatura digital. A segunda mudança está na janela que o Windows exibe quando um software é baixado da internet. Sem a assinatura digital, o Windows exibe um alerta em um escudo vermelho com um X branco (veja foto).
Porém, mesmo softwares com assinatura digital ainda trazem um aviso. O motivo disso é simples: os arquivos em si não são verificados antes de receberem a assinatura digital.
A assinatura digital tem por finalidade apenas garantir que um arquivo foi criado por quem ele diz ser. Não há garantia nenhuma sobre o código do arquivo, ou seja, ele ainda pode ter um código malicioso e realizar tarefas destrutivas caso tenha sido criado para isso. O arquivo só não pode ser modificado por um terceiro para realizar essas tarefas após receber a assinatura.
Por exemplo, não é possível, em condições normais, pegar um software da Microsoft, infectá-lo com um vírus e fazer com que ele ainda continue com uma assinatura da Microsoft.
No caso da praga digital brasileira, o arquivo foi criado já com a finalidade de roubar senhas de banco e a assinatura foi feita em nome de uma empresa que não representa nenhuma empresa real. E é esse o problema: era tarefa da Comodo, a certificadora que permitiu essa assinatura, fazer a verificação de identidade e garantir que a autoria do arquivo era realmente conhecida.
No entanto, os dados usados para o registro eram todos falsos.
Uma possibilidade é que a Comodo não tenha de fato verificado nenhuma informação e que os criminosos tenham utilizado um conflito matemático nas fórmulas utilizadas para gerar as assinaturas digitais. Porém, esse caso é ainda mais grave, pois significa que os criminosos conseguiram a capacidade de assinar qualquer arquivo no futuro.
Questionada pelo G1, a Comodo ainda não explicou como o arquivo acabou carregando uma assinatura digital válida em nome de uma empresa falsa.
O Windows é configurado de fábrica, pela Microsoft, para confiar nos certificados emitidos pela Comodo.
Código não é verificado
Quando se verifica as propriedades de um programa, o Windows exibe diversas informações sobre o fabricante na aba “Detalhes”. Nenhuma dessas informações é garantida pela autoridade certificadora. Sim, é confuso.
É por isso que o vírus brasileiro conseguiu, com um certificado falso de uma empresa inexistente, a “Gas Tecnology”, informar, nas propriedades do arquivo, que o software pertencia à Hewlett-Packard (HP). Se a aba específica, “Assinaturas Digitais”, não for conferida, não será possível saber que o arquivo na verdade tinha assinatura da “Gas Tecnology”.
É a primeira vez no Brasil e das poucas no mundo que um código indiscutivelmente malicioso foi encontrado com uma assinatura digital. Essa prática só era comum quando softwares indesejados eram desenvolvidos por empresas legalmente estabelecidas e reais para exibir anúncios no PC, ou seja, os certificados na verdade eram válidos, porque realmente identificavam os autores do programa. Certificados digitais emitidos para empresas totalmente falsas é algo quase “revolucionário”.
Em casos anteriores, como nos vírus Flame e Stuxnet, os certificados haviam sido roubados de empresas legítimas ou gerados a partir de cálculos matemáticos complexos. Se a Comodo realmente emitiu esse certificado, é uma ocorrência raríssima – talvez a primeira. A coluna não conseguiu identificar outro caso.
Atualizado: O leitor Sergio Leal enviou como colaboração a referência em um caso de 2001 em que a empresa VeriSign emitiu um certificado de Classe 3, de confiabilidade mais alta, em nome da Microsoft para alguém que não era a Microsoft. No entanto, não se sabe como esse certificado foi usado. A VeriSign informou, na época, que a causa foi erro humano por falha ao seguir os procedimentos de assinatura do certificado.
Um vírus ser encontrado com assinatura digital coloca mais dúvidas sobre o modelo de certificados digitais baseados em autoridades certificadoras (ACs), ou seja, quando várias empresas diferentes podem emitir certificados e acaba sendo difícil punir uma empresa qualquer, já que revogar a permissão dela de emitir certificados pode causar problemas para os programas já assinados e para clientes.
As assinaturas digitais em computadores Macintosh, por exemplo, vão utilizar o Developer ID, que é emitido pela própria Apple. Já aplicativos no Windows normalmente trazem assinaturas garantidas por empresas terceirizadas, como a Comodo e a Verisign, da Symantec, e que o sistema “confia”.
Por tabela, o Windows também confiou na “Gas Tecnology” e em um ladrão de senhas bancárias.
Fonte: http://g1.globo.com/tecnologia/
