Alerta é da empresa de segurança Fox-IT, que enxerga o ataque como uma tentativa de interceptar comunicações privadas daquele país.
Aproximadamente 300 mil endereços únicos de protocolos de Internet (IP) do Irã solicitaram acesso ao Google.com usando um certificado malicioso criado originalmente pela empresa holandesa de autorização de certificados DigiNotar, de acordo com um relatório divulgado ontem, segunda-feira (5/9), pela companhia de segurança Fox-IT.
O certificado, lançado em 10 de julho pela DigiNotar, foi finalmente revogado em 29 de agosto.
“Cerca de 300 mil IPs únicos que solicitaram acesso ao Google.com foram identificados”, afirmou a Fox-IT, no relatório. Em 4 de agosto, o número de solicitações aumentou rapidamente até o certificado ser revogado. Entre esses IPs, 99% eram do Irã.
A lista de endereços será entregue ao Google, que poderá informar aos usuários do serviço que contas de e-mail podem ter sido interceptadas nesse período, segundo a empresa de segurança. Não apenas o e-mail, mas também o cookie de login pode ter sido interceptado, Com ele, um hacker pode acessar o Gmal dos internautas, além de outros serviços Google.
Recomendações
“O cookie de login permanece válido por um período maior”, afirmou a Fox-IT. Seria bom que os usuários do Irã deslogassem e logassem novamente, mas é ainda melhor mudar as senhas de acesso aos e-mails, acrescentou a empresa.
Uma amostra dos endereços IP fora do Irã durante o período foram principalmente saídas Tor, proxies e outros servidores VPN (rede privada virtual, na sigla em inglês), e quase nenhum assinante direto, de acordo com o relatório que analisou logs de solicitações OCSP (Protocolo de Status de Certificados Online).
Os navegadores atuais executam uma verificação de OCSP assim que se conectam a um site SSL (camada de soquetes de segurança) protegidas através do protocolo https.
Tor é uma rede anônima distribuída usada para evitar ser rastreado por sites ou para se conectar a serviços de mensagens instantâneas, entre outros, quando estes se encontram bloqueados pelos seus provedores de Internet locais.
Um total de 531 certificados digitais foram emitidos para domínios que incluíam Google.com, a CIA e o Mossad de Israel.
Espionagem interna
A lista de endereços e o fato de que 99 por cento dos usuários estão no Irã sugerem que o objetivo dos hackers foi para interceptar comunicações privadas no Irã, disse a Fox-IT.
A Google afirmou que recebeu, em 29 de agosto, relatos de “tentativa de SSL ataques man-in-the-middle (intermediário)” contra usuários do Google, em que alguém tentou ficar entre os usuários e os serviços codificados da Google. As pessoas afetadas foram localizadas, na maior parte, no Irã.
O cibercriminoso usou um certificado SSL fraudulento emitido pela DigiNotar, desde então revogados, disse a Google em um comunicado publicado em seu blog.
Por IDG News Service
(John Ribeiro)
Publicada em 06 de setembro de 2011 às 12h05
O Blog apresenta sempre novidades sobre certificação digital. Conheça e divulgue.