Matemático encontra vulnerabilidade em emails do Google, Yahoo, Apple e outros
Zach Harris. Esse é o nome de um matemático americano de 35 anos que descobriu, por acidente, uma vulnerabilidade séria nos emails de grandes empresas da web. Nessa lista de empresas estão gigantes como Google, Yahoo, Paypal, Twitter e até a Apple. Basicamente o que ele conseguiu fazer é um método para enviar um email fingindo ser outra pessoa, mas de uma forma que esse email tenha todas as características de uma mensagem legítima.
Tudo começou quando Zach recebeu um email de um recrutador do Google, oferecendo um emprego. Desconfiado de que poderia se tratar de um scam, ele abriu o header da mensagem e percebeu que era legítimo. Só que ele percebeu também que a chave DKIM que o Google estava usando era de 512 bits, relativamente fraca e poderia ser quebrada facilmente.
A chave DKIM, ou DomainKeys Identified Mail, é a responsável por autenticar um domínio de um remetente de email. Essa chave certifica que uma mensagem foi mesmo enviada usando o domínio que consta nela, então se fosse quebrada qualquer pessoa poderia usá-la para enviar um email supostamente autêntico partindo de um domínio. Para testar essa teoria, Zach então quebrou a chave de 512 bits com a ajuda de um servidor da Amazon e mandou um email para Larry Page. Fingindo ser Sergey Brin.
Mesmo com o e-mail de resposta sendo o seu próprio, ele nunca recebeu uma mensagem de volta. Mas alguns dias depois, ao conferir novamente a chave usada pelo domínio do Google, ele percebeu que ela havia mudado de 512 bits para 2048 bits, algo bem mais seguro e impossível de ser quebrada usando apenas um servidor barato.
Ele testou a mesma coisa nos domínios do Paypal, Apple, Yahoo, Dell, Linkedin, Twitter e vários outros. E descobriu que todos eles tinham o mesmo problema: uma chave de criptografia fraca que poderia ser quebrada de maneria relativamente fácil e permitia enviar emails fajutos fingindo serem genuínos.
Essa não é a primeira vez que uma falha na implementação de uma chave DKIM é relatada: em 2010 um pesquisador de segurança percebeu que o domínio que o Facebook usa para seus empregados também tinha o problema. Mas essa deve ser a primeira que receberá bastante atenção da mídia e que deverá motivar muitas empresas a finalmente mudarem sua implementação, deixando os seus emails mais seguros.
A história completa foi contada pela Wired nessa reportagem e tem vários detalhes do que Zach conseguiu fazer depois que descobriu o problema. Vale muito à pena a leitura se você curte criptoanálise e esse tipo de coisa.
