Será que algumas das tecnologias existentes hoje em dia, como a utilização de certificados digitais e protocolos associados, nos garantem a privacidade das comunicações? Pretende-se que ninguém não autorizado possa ver ou alterar conteúdos e que se tenha a certeza de estar a comunicar apenas com quem se pretende. Se as ferramentas de segurança tivessem sido introduzidas na World Wide Web desde o início, será que hoje em dia estaríamos seguros?
Vince Cerf, um dos “pais” da Internet, acredita que sim e veio a público reforçar a ideia de que a segurança devia ter sido incorporada na Internet desde o seu início. Nos últimos 25 anos, a Internet tem sido aberta e sem segurança intrínseca, sendo possível ter-se acesso ao conteúdo das comunicações se não se tomarem algumas precauções. A utilização de certificados digitais e protocolos associados permite que comunicações críticas, como o acesso ao homebanking, possam ser cifradas (confidenciais), garantindo ainda a identidade do prestador de serviço.
Hoje em dia as vantagens destes mecanismos de segurança estão a ser amplamente utilizadas, levando a uma mudança de paradigma – estamos a passar de uma Internet sem privacidade, para uma Internet com privacidade. Pela sua natureza, para algumas entidades isto torna-se um obstáculo ao seu serviço principal, pelo que decidem adoptar técnicas alternativas que criam vulnerabilidades de segurança críticas. Seguem-se alguns exemplos em diversas áreas de actividade.
Empresas de publicidade online
Para conseguirem direccionar os anúncios, as empresas de publicidade online decidiram que seria importante aceder às comunicações seguras entre o utilizador e os serviços que este utiliza.
Foi o caso dos portáteis Lenovo, em que era instalado nos equipamentos dos clientes finais um software que permitia ver as comunicações estabelecidas (Man-In-The-Middle), apresentando a publicidade adequada ao que estava a ser acedido. Este software funcionava como um proxy das comunicações do portátil e usava um certificado digital de raiz auto-assinado como confiável. Isto significa que o utilizador ao aceder, por exemplo, ao seu homebanking, toda informação passava pelo software em claro, podendo ser analisada e manipulada.
Como o mesmo certificado era usado para todos os clientes e era obrigatório que estivesse no computador para criar os certificados digitais SSL, qualquer pessoa poderia usar esse certificado para emitir certificados digitais de outros sites, permitindo ataques de phishing com alto grau de sucesso.
Diz a sabedoria popular que “não há duas sem três” e, no caso da Lenovo, a “pièce de résistance” reside na password pouco segura que protegia esse certificado, que correspondia ao nome da empresa que criou o módulo chamado de SSL-DecoderDigestor.
Contudo, a Lenovo não se trata de um caso isolado. Existem várias empresas que usam este tipo de soluções, como a Nokia ou até a solução Forefront da Microsoft.
Empresas de Antivírus
Algumas das funcionalidades core dos antivírus são a análise do que o utilizador faz quando está online, os sites a que acede e o que faz nesses sites. No entanto, com o aumento das comunicações cifradas, este serviço está cada vez mais limitado. Foi, por isso, implementado por várias empresas (como a Kaspersky ou a ESET) a possibilidade de ver as comunicações cifradas dos seus utilizadores, criando vulnerabilidades graves no acesso à informação.
Política Bring Your Own Device
Existem cada vez mais empresas que permitem, ou até incentivam, que os seus colaboradores levem os seus equipamentos para o trabalho (Bring Your Own Device). Como estes equipamentos são pontos de insegurança, pois as empresas não têm controlo sobre o que neles está instalado, por uma questão de segurança vêem-se forçadas a implementar sistemas que permitem monitorizar ocultamente os seus colaboradores. Esta medida acarreta também outros objectivos indirectos, como o impedimento de tarefas de lazer ou simplesmente controlar as acções dos colaboradores.
Fornecedores de Serviços de Internet
São vários os Governos que impõem restrições de acesso a sites e serviços. Isto leva a que os fornecedores de serviços de Internet se vejam obrigados a criar soluções para impedir acessos indevidos, ou para simplesmente registarem os acessos. No entanto, como em comunicações cifradas não é possível fazer este controlo, estas empresas recorrem a algumas ferramentas alternativas. Em Portugal, por exemplo, temos a recente imposição do Tribunal da Propriedade Intelectual que obrigou os operadores a bloquearem o acesso a alguns sites de partilha de ficheiros.
Temos também o exemplo da Gogo, empresa que fornece acesso à Internet via Wi-Fi durante voos comerciais, que utilizou a mesma técnica de certificados falsos para conseguir fazer Man-In-The-Middle e espiar e controlar os acessos dos passageiros. Segundo a companhia aérea este sistema permite fazer caching de conteúdos de vídeo (do Youtube, por exemplo) para que a Internet seja mais rápida para todos os passageiros.
Empresas de Segurança
A MCS Holding é uma empresa Egípcia que se tornou numa Entidade de Certificação Intermédia da China Internet Network Information Center (CNNIC). O acordo com a Entidade Chinesa passava pela emissão de certificados para uso próprio da MCS Holding, ou seja, certificados para os seus domínios. No entanto, durante testes para o que chamam de serviços seguros baseados na cloud, a empresa Egípcia usou uma firewall (Proxy SSL), permitindo a geração de certificados para domínios em HTTPS de forma automática, o que iria permitir ataques do tipo Man-In-The-Middle. Se estas ferramentas forem disponibilizadas e instaladas por exemplo em redes sem fios de hotéis, podem de uma forma muito simples permitir, a quem tem acesso a esse software, ver todas as comunicações em claro dos seus utilizadores, mesmo as que assumimos que estão cifradas.
Governos
As agências de segurança governamentais têm como principal objectivo a segurança da população do seu país. Com o aumento de ferramentas mais seguras para comunicações escritas, orais ou visuais, alguns governos, uns de forma clara, outros de forma mais obscura, obrigam a criação de acessos alternativos à informação (Skype, Google, Apple, etc). A ideia por detrás destas imposições é que exista uma “backdoor” que, em caso de um atentado à segurança nacional, seja possível que a Microsoft (proprietária do Skype) ceda as conversas de um cidadão específico a pedido da agência governamental. Outro exemplo de vulnerabilidade crítica criada por entidades governamentais foi o pagamento de 10 milhões de dólares à RSA, por parte da NSA (National Security Agency dos Estados Unidos), para definição de um algoritmo inseguro por omissão, permitindo que os serviços secretos americanos conseguissem quebrar e interceptar as comunicações de quem utilizasse esta tecnologia.
Como nos poderemos proteger?
Estes foram alguns exemplos de entidades que para sobreviverem e se destacarem ou em prol da proteção nacional, tomaram medidas de controlo que colocam em causa a própria privacidade e segurança dos teus utilizadores. Posto isto, de que forma é que nós, como simples utilizadores de serviços, nos poderemos proteger?
Uma ideia simples de garantir que estamos ligados a um determinado serviço é possuir de antemão a chave pública do certificado digital que nos vai ser apresentado. Desta forma, ao invés de se confiar uma hierarquia de certificados, como normalmente realizado, poderemos verificar se o certificado que temos guardado na nossa lista de certificados confiáveis é o que nos está a ser apresentado. A isto chama-se de Certificate Pinning. A Google já utiliza esta tecnologia no Chrome de forma transparente para o utilizador. O browser descobre automaticamente o uso de certificados falsos ao verificar se os sites estão a apresentar o certificado correto.
Quem controla quem nos controla?
Muitas empresas querem ver tudo o que fazemos, sempre com o objectivo de aumentar a velocidade do serviço, melhorar a nossa segurança como cidadão, ou até prestar um serviço personalizado e centrado em nós. Contudo, será suficiente o que nos oferecem em troca da nossa privacidade?
Por Pedro Tarrinho, Information Security Manager/Auditor da Multicert