Playstations 3 Utilizadas Para Piratear Sites

Um grupo de investigadores utilizou 200 Playstations 3 para criar versões falsas de certificados digitais utilizados em sites comerciais e bancos online.

Numa conferência sobre segurança que decorreu em Berlim, um grupo de especialistas em segurança utilizou o poder computacional das Playstation 3 para recriar os alguns do certificados digitais mais utilizados no comércio electrónico.

O relatório da experiência explica que foi possível explorar uma fragilidade num sistema de encriptação antigo ainda utilizado por autoridades de certificação, como a RapidSSL detido pela muito conhecida VeriSign (autoridade que certifica grande parte dos sites de comércio electrónico.

A técnica exposta permitiria criar sites autenticados onde o utilizador seria levado a realizar operações de transferência de dinheiro acreditando que estava perante uma transacção segura, comprovada pelo símbolo do cadeado que surge no browser nestas situações. O sistema poderia ser também utilizado para roubar informação sigilosa aos internautas, relacionada com os métodos de pagamento digital.

Recorde-se que os certificados digitais eram considerados praticamente impossíveis de decifrar e recriar porque assentam numa assinatura digital supostamente única para cada uma das transacções.

A Microsoft lançou um aviso de segurança onde é recomendado às entidades que emitem os certificados a mudança para novos algoritmos de segurança.

A VeriSign anunciou que corrigiu os problemas de segurança nos algoritmos que servem de base aos seus certificados e que planeia descontinuar por completo o algoritmo vulnerável no final de Janeiro.

A Microsoft, a Mozilla (detentora do Firefox) e a VeriSign indicaram que não têm conhecimento de qualquer ataque real que tenha tirado partido da falha demonstrada.