Roubo de certificados digitais pode expor usuários a fraudes online

Há alguns dias, uma empresa afiliada à Comodo (que emite certificados digitais para comprovar a autenticidade de sites de internet) teve seu sistema invadido por hackers que obtiveram certificados fraudulentos correspondentes a alguns domínios — incluindo empresas como Skype, Google, Mozilla e Yahoo!. O roubo permite que pessoas mal-intencionadas criem páginas de phishing com um falso reconhecimento de autenticidade, que costuma ser representado em navegadores por um ícone de um cadeado situado no topo das suas janelas, com o nome da empresa.

Publicidade

A situação não seria tão preocupante se todo mundo utilizasse navegadores que cuidam da validação de certificados digitais automaticamente — como é o caso do Firefox, por exemplo —, mas a maior parte dos aplicativos da categoria no Mac OS X usa os recursos nativos do sistema para lidar com essa tarefa, incluindo o próprio Safari. O problema é que, por padrão, o sistema operacional da Apple não utiliza um serviço online para validar a autenticidade dos certificados que recebe, sendo incapaz de reconhecer quando eles foram revogados pela fonte até que você o oriente a fazer isso.

No caso recente que envolveu a Comodo, os certificados roubados já foram revogados, mas o Mac OS X ainda pode tratá-los como válidos. Em seu blog de segurança, a Intego orienta como fazer isso facilmente: basta abrir o utilitário Acesso às Chaves (em inglês, Keychain Access) usando o Spotlight, clicar no menu de mesmo nome e selecionar a opção “Preferências” (Preferences).

Publicidade

Verificando certificados no Mac OS X

Na janela que se abre, clique na aba Certificados (Certificates) e verifique se as opções estão configuradas de acordo com a imagem acima. Para que o Mac OS X consulte a autenticidade de certificados online, as duas fontes devem ter a opção Best Attempt selecionada, mas a opção de prioridade deve estar ajustada para o uso da primeira fonte (OCSP). Com isso, o navegador web da sua escolha deverá estar protegido contra certificados já revogados.

Para garantir sua segurança ao navegar pela internet além de garantir a verificação de certificados, nem é preciso dizer o quanto é importante manter o seu browser e o Mac OS X sempre atualizados.

Publicidade

Posts relacionados

Comentários

Carregando os comentários…