Início » Antivírus e Segurança » Matemático encontra vulnerabilidade em emails do Google, Yahoo, Apple e outros

Matemático encontra vulnerabilidade em emails do Google, Yahoo, Apple e outros

Avatar Por

Zach Harris. Esse é o nome de um matemático americano de 35 anos que descobriu, por acidente, uma vulnerabilidade séria nos emails de grandes empresas da web. Nessa lista de empresas estão gigantes como Google, Yahoo, Paypal, Twitter e até a Apple. Basicamente o que ele conseguiu fazer é um método para enviar um email fingindo ser outra pessoa, mas de uma forma que esse email tenha todas as características de uma mensagem legítima.

Tudo começou quando Zach recebeu um email de um recrutador do Google, oferecendo um emprego. Desconfiado de que poderia se tratar de um scam, ele abriu o header da mensagem e percebeu que era legítimo. Só que ele percebeu também que a chave DKIM que o Google estava usando era de 512 bits, relativamente fraca e poderia ser quebrada facilmente.

Chave de criptografia do Facebook em 2010: 512 bits é fraca

A chave DKIM, ou DomainKeys Identified Mail, é a responsável por autenticar um domínio de um remetente de email. Essa chave certifica que uma mensagem foi mesmo enviada usando o domínio que consta nela, então se fosse quebrada qualquer pessoa poderia usá-la para enviar um email supostamente autêntico partindo de um domínio. Para testar essa teoria, Zach então quebrou a chave de 512 bits com a ajuda de um servidor da Amazon e mandou um email para Larry Page. Fingindo ser Sergey Brin.

Mesmo com o e-mail de resposta sendo o seu próprio, ele nunca recebeu uma mensagem de volta. Mas alguns dias depois, ao conferir novamente a chave usada pelo domínio do Google, ele percebeu que ela havia mudado de 512 bits para 2048 bits, algo bem mais seguro e impossível de ser quebrada usando apenas um servidor barato.

Ele testou a mesma coisa nos domínios do Paypal, Apple, Yahoo, Dell, Linkedin, Twitter e vários outros. E descobriu que todos eles tinham o mesmo problema: uma chave de criptografia fraca que poderia ser quebrada de maneria relativamente fácil e permitia enviar emails fajutos fingindo serem genuínos.

Essa não é a primeira vez que uma falha na implementação de uma chave DKIM é relatada: em 2010 um pesquisador de segurança percebeu que o domínio que o Facebook usa para seus empregados também tinha o problema. Mas essa deve ser a primeira que receberá bastante atenção da mídia e que deverá motivar muitas empresas a finalmente mudarem sua implementação, deixando os seus emails mais seguros.

A história completa foi contada pela Wired nessa reportagem e tem vários detalhes do que Zach conseguiu fazer depois que descobriu o problema. Vale muito à pena a leitura se você curte criptoanálise e esse tipo de coisa.

Comentários

Envie uma pergunta

Os mais notáveis

Comentários com a maior pontuação

Evandro Oliveira
No post sobre o evento do Windows 8, citaram que o blog estava ficando tendencioso. Começo a concordar com esse tipo de comentário.
Leandro Ruel
Até?...
luizzz
"cientistas criam o novo, artistas pegam carona"
Danillo Nunes
Premiaram o Sergey, que foi oficialmente quem descobriu a falha :P
Luke Gildenlöw
ok, então só porque provaram uma coisa nova quer dizer quem são mestres no assunto
YanGM
Por ela tentar contratar o cara que ele descobriu essa falha.
Thadeu Chedid Afonso
Ficar questionando os outros. Até quando? OH WAIT...
Leandro Casanova
Achei interessante a parte do "e até a Apple".
rbicalho
Só lembrar que os fundadores do Google são doutores em computação. Não poderia chamá-los exatamente de leigos, mesmo que criptografia não seja o campo de pesquisa deles.
Tiago Celestino
O cara simplesmente é matemático, não é qualquer um que faria algo que ele fez, fato. Agora, sacangem da Google mesmo, pelo menos contratava o cara. rs rs
Gabriel Longarai
Até quando?
Silvio Ney
Dar sermão online. Até quando?
Rafael Machado de Souza
poh, mas o Google ate havia enviado uma proposta de emprego..., ate mesmo o RH do google sabia que ele era bom, hehe
Vinicius Kinas
Levar uma brincadeira a sério e tentar rebater com argumentos. Até quando?
Adriano
Ele vacilou, poderia ter informado a falha diretamente a companhia ao invés de apenas mostra-la. Se puder não admitir, o Google não vai admitir um erro, eles não são burros.
Exibir mais comentários