{"id":2481,"date":"2014-03-14T14:37:25","date_gmt":"2014-03-14T14:37:25","guid":{"rendered":"http:\/\/kasperskydaily.com\/brazil\/?p=2481"},"modified":"2019-11-22T08:09:03","modified_gmt":"2019-11-22T11:09:03","slug":"linux-e-vulneravel-ao-bug-de-certificados-da-apple","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.br\/blog\/linux-e-vulneravel-ao-bug-de-certificados-da-apple\/2481\/","title":{"rendered":"Linux \u00e9 vulner\u00e1vel ao bug de certificados da Apple"},"content":{"rendered":"

Em uma tarde de uma sexta-feira em meados do m\u00eas de fevereiro, a Apple publicou discretamente uma solu\u00e7\u00e3o para um bug cr\u00edtico de valida\u00e7\u00e3o do certificado no iOS que, essencialmente, poderia ter proporcionado a um cibercriminoso a capacidade de espionar as comunica\u00e7\u00f5es supostamente seguras.<\/span><\/p>\n

\n

Embora o bug foi cr\u00edtico, o an\u00fancio tardio em uma sexta-feira n\u00e3o poderia ser mais inadvertido, mas ainda assim \u00e9 o este \u00e9 um padr\u00e3o da Apple. A gigante da inform\u00e1tica com sede em Cupertino, na Calif\u00f3rnia, \u00e9 bem conhecida por operar atr\u00e1s de um v\u00e9u de segredo lend\u00e1rio.<\/span><\/p>\n

No entanto, as cabe\u00e7as se viraram e os interesses foram despertados no dia seguinte quando se descobriu que o erro n\u00e3o s\u00f3 afetou iOS m\u00f3veis do sistema operacional da Apple, mas tamb\u00e9m o seu sistema operacional tradicional OSX. O enredo engrossou ainda mais na semana passada, quando se tornou evidente que um bug estranhamente similar afetou GnuTLS, uma programa de software livre e de c\u00f3digo aberto usado para implementar a criptografia em v\u00e1rias distribui\u00e7\u00f5es Linux e outras plataformas.<\/span><\/p>\n

Quanto mais as pessoas olharam para os bugs (particularmente as da Apple), mais meios de comunica\u00e7\u00e3o e pesquisadores publicaram sugest\u00f5es de subterf\u00fagio. Bruce Schneier, um dos especialistas em criptografia e espescialista em seguran\u00e7a do mundo, descreveu a vulnerabilidade da seguinte forma:<\/p>\n

“A falha \u00e9 sutil e dif\u00edcil de detectar durante a digitaliza\u00e7\u00e3o do c\u00f3digo. \u00c9 f\u00e1cil imaginar como isso poderia ter acontecido por erro. E que teria sido trivialmente f\u00e1cil para uma pessoa aumentar a vulnerabilidade. Se isso f<\/span>oi feito de prop\u00f3sito? Eu n\u00e3o tenho id\u00e9ia. Mas se eu queria fazer algo assim de prop\u00f3sito, isso \u00e9 exatamente que eu faria”<\/p>\n

Outros pesquisadores foram mais diretos, desafiando que os erros de codifica\u00e7\u00e3o que levaram ao erro da Apple – apelidado de “Goto fail” – seria quase imposs\u00edvel de cometer e ainda mais dif\u00edcil de se perder no processo de revis\u00e3o de codifica\u00e7\u00e3o. \u00c9 claro que, dado o clima atual e o utilit\u00e1rio da vulnerabilidade ‘Goto fail”, muitos t\u00eam especulado que tanto os erros da Apple como os de GnuTLS seriam muito valiosos para qualquer pessoa no neg\u00f3cio de espionagem.<\/span><\/p>\n

Embora, sem d\u00favida coincidentes e similares de fato, os erros vieram a existir em formas completamente diferentes. Outro especialista crypto, Matthew Green, da Johns Hopkins University, analisou o bug GnuTLS e acredita que foi um honesto – embora muda – erro de codifica\u00e7\u00e3o.<\/span><\/p>\n

Todas as conspira\u00e7\u00f5es \u00e0 parte, esta falha de valida\u00e7\u00e3o de criptografia em GnuTLS significa que toda a \u00e1rea de trabalho e produtos de servidor Red Hat, bem como todas as instala\u00e7\u00f5es Debian e Ubuntu (Linux) cont\u00eam um bug que poderia ser explorado para monitorar as comunica\u00e7\u00f5es que ocorrem nessas m\u00e1quinas. Os efeitos deste bug afetou sistemas de baixo para cima. N\u00e3o s\u00f3 as suas sess\u00f5es seguras web- browsing (como indicado por “https”) poderiam ser afetadas, mas tamb\u00e9m suas aplica\u00e7\u00f5es, downloads e realmente quaisquer outras comunica\u00e7\u00f5es supostamente criptografadas que usam GnuTLS para a implementa\u00e7\u00e3o.<\/span><\/p>\n

Para ser claro, o cibercriminoso precisa estar em uma rede local com o seu alvo para poder explorar qualquer um desses bugs. No entanto, sob as circunst\u00e2ncias adequadas, os erros poderiam permitir que um hacker execute um ataque man-in -the-middle, em que a v\u00edtima acredita que ele ou ela est\u00e1 se comunicando com um provedor de servi\u00e7os online de confian\u00e7a, mas o fato \u00e9 que est\u00e1 enviando pacotes de dados a um cibercriminosos na rede. Ambos os erros oferecem uma \u00f3tima maneira de roubar as credenciais de login e vigiar as comunica\u00e7\u00f5es locais em rede.<\/span><\/p>\n

“A verdade \u00e9 que n\u00e3o poderia ser pior”, disse Kenneth White, especialista em seguran\u00e7a e principal cientista \u00a0da Social & Scientific Systes, na Carolina do Norte. “Um hacker pode trivialmente forjar qualquer dom\u00ednio arbitr\u00e1rio e fazer parecer autorit\u00e1rio e confi\u00e1vel para o solicitante. Assim, n\u00e3o s\u00f3 interceptar canais sens\u00edveis, mas (tamb\u00e9m) potencialmente subverter o processo de assinatura do pacote de confian\u00e7a.”<\/span><\/p>\n

Em outras palavras, \u00e9 poss\u00edvel falsificar os tipos de informa\u00e7\u00f5es de certificados de confian\u00e7a\u00a0que permite ao usu\u00e1rio saber quem desenvolveu o software ou a aplica\u00e7\u00e3o que os usu\u00e1rios est\u00e1 a ponto de fazer o download.<\/p>\n

Se voc\u00ea executar uma m\u00e1quina com Linux, ent\u00e3o voc\u00ea provavelmente est\u00e1 vulner\u00e1vel. Recomendamos instalar a atualiza\u00e7\u00e3o mais recente para a sua distribui\u00e7\u00e3o Linux o mais r\u00e1pido poss\u00edvel. Se voc\u00ea n\u00e3o executar um dos muitos sistemas operacionais Linux dispon\u00edveis, n\u00e3o significa necessariamente que voc\u00ea est\u00e1 seguro. O GnuTLS \u00e9 pacote de software de c\u00f3digo aberto amplamente implantado, que \u00e9 executado em um n\u00famero desconhecido de sistemas. A moral da hist\u00f3ria aqui, como sempre: instalar patches frequentemente e o mais r\u00e1pido poss\u00edvel.<\/span><\/p>\n

Tradu\u00e7\u00e3o: Juliana Costa Santos Dias<\/p>\n","protected":false},"excerpt":{"rendered":"

Em uma tarde de uma sexta-feira em meados do m\u00eas de fevereiro, a Apple publicou discretamente uma solu\u00e7\u00e3o para um bug cr\u00edtico de valida\u00e7\u00e3o do certificado no iOS que, essencialmente,<\/p>\n","protected":false},"author":42,"featured_media":2482,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[14],"tags":[],"class_list":{"0":"post-2481","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news"},"hreflang":[{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/linux-e-vulneravel-ao-bug-de-certificados-da-apple\/2481\/"}],"acf":[],"banners":"","maintag":[],"_links":{"self":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2481","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/users\/42"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/comments?post=2481"}],"version-history":[{"count":2,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2481\/revisions"}],"predecessor-version":[{"id":13616,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/posts\/2481\/revisions\/13616"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media\/2482"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/media?parent=2481"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/categories?post=2481"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.com.br\/blog\/wp-json\/wp\/v2\/tags?post=2481"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}