Pesquisadores descobriram uma nova falha de segurança que afeta a internet de modo geral. Já se sabe o que fazer para corrigir o problema, mas o conserto pode sair caro, porque deixaria milhares de sites inacessíveis.

O Wall Street Journal noticiou que faz dois meses que os engenheiros das empresas que fazem navegadores vêm trocando mensagens para decidir o que fazer, e a solução encontrada para acabar com a vulnerabilidade faria com que mais de 22 mil sites ficassem inoperantes. Mesmo assim, a maioria das empresas ou já fez, ou se prepara para fazer a atualização necessária.

A falha talvez ainda não tenha sido explorada por hackers convencionais, suspeita-se que apenas o governo dos Estados Unidos tenha tirado proveito da situação para espionar redes privadas, as VPNs. Ela permite que o atacante leia e até altere comunicações supostamente seguras.



História

Sete anos atrás, pesquisadores franceses começaram a procurar por fraquezas na forma como diferentes programas usam os protocolos de comunicação, até que, no ano passado, encontraram problemas nos softwares que usam TLS, um protocolo de segurança.

Esse bug, batizado de Freak, é consequência da política americana de limitar a força da criptografia exportada a outros países - algo que os EUA faziam para poder espioná-los. Mesmo que a barreira tenha sido desfeita nos anos 1990, ainda existem computadores que usam chaves de criptografia mais fracas na hora de fazer exportação.

O bug novo foi batizado de LogJam e é considerado um "primo" do Freak. Em vez de focar nos softwares, ele se concentra no desenho básico do TLS, fazendo com que todos os navegadores e até alguns servidores de e-mail sejam vulneráveis.

O hacker poderia enganar o navegador para fazê-lo acreditar que ele está usando uma chave segura, e não a versão de exportação. Além disso, muitos computadores reciclam números usados para criar as chaves, o que facilita o trabalho dos atacantes. Cerca de 8% dos sites que estão entre o milhão de páginas mais acessadas do mundo estão vulneráveis por suportar essas chaves de exportação.



Correção

Bastaria uma simples atualização para matar o problema, os navegadores só precisam rejeitar chaves curtas demais. Uma chave boa, com 2.048 bits, é composta por 617 dígitos, mas elas estão presentes em apenas metade dos sites do milhão mais visitado. Uma chave de 512 bits (155 dígitos), deixaria a maioria deles operando, mas ainda é tão fraca que permitiria um ataque em minutos.

Portanto, as empresas decidiram configurar os navegadores para aceitar apenas páginas com chaves a partir de 1.024 bits, que são compostas por 309 dígitos. Com isso, algo em torno de 0,2% das páginas ficarão inacessíveis até que seus administradores façam uma atualização.