O Google quer “acabar com a URL” como conhecemos
O Google quer dar fim a fraudes em URLs com HTTPs usadas em ataques homográficos que enganam os usuários de Internet
O Google quer dar fim a fraudes em URLs com HTTPs usadas em ataques homográficos que enganam os usuários de Internet
No final de 2018, mais precisamente em setembro, membros da equipe de segurança do Google Chrome causaram polêmica ao apresentar uma proposta radical: acabar com as URLs da forma como conhecemos. Isso pode mudar a dinâmica de acesso a sites na Internet, causar impacto nos usuários e influenciar outros navegadores.
Antes disso: o que é URL?
Para ninguém ficar confuso, uma definição: Uniform Resource Locator, é um termo técnico que foi traduzido para a língua portuguesa como “localizador uniforme de recursos”, mas todo mundo chama de URL. Que nada mais é que o endereço de um site, na maior parte dos casos. É o que você digita para nos ler: tecnoblog.net.
O que os pesquisadores do Google querem é repensar a forma como os navegadores encontram o site que você está visualizando, para que você não tenha de lidar com URLs “cada vez mais longas e ininteligíveis”. Mas não é apenas o quesito conforto que toca o projeto. O Google quer acabar com fraudes em URLs de ataques de phishing.
Em uma palestra na conferência de segurança da Bay Area Enigma, no fim de janeiro, a líder da equipe de segurança do Chrome, Emily Stark, detalhou os primeiros passos do Google em direção ao que a imprensa especializada vem chamando de “fim da URL”.
Se ajudar a tornar a coisa menos polêmica, Stark disse que o Google não está tentando induzir o caos. O que a equipe quer é tornar mais difícil para hackers se darem bem (e ganharem algum dinheiro) com a confusão que um usuário pode fazer com URLs falsas.
Embora a maioria das páginas falsas utilizem HTTP, enquanto que os sites legítimos que tendem a solicitar credenciais de acesso (redes sociais, sites de bancos, e-mails e lojas) há sites fraudulentos que usam o HTTPs. Um atacante pode facilmente transformar uma página em HTPPs, obtendo um certificado SSL/TLS válido, inclusive gratuito.
Contra isso, o Google já iniciou as mudanças: 1) parou de marcar sites com HTTPs como seguros; 2) marcou todos os sites sem HTTPs como “não seguros”; 3) o que gerou uma corrida de milhares de sites no mundo buscando ficar de acordo com o Google Chrome.
Mas não é o suficiente. Há sites com HTTPs aplicando tal golpe da sopa de letrinhas.
O que é o ataque homográfico?
Em geral, criminosos criam links maliciosos que parecem levar a um site legítimo, mas redirecionam automaticamente as vítimas para uma página de phishing. E podem criar páginas maliciosas com URLs muito semelhantes às originais, esperando que as vítimas não percebam que estão no G00gle em vez do Google.
“O que realmente estamos falando é sobre mudar a forma como a identidade do site é apresentada”, disse Stark à Wired. “As pessoas devem saber com facilidade em que site estão e não devem ficar confusas ao pensar que estão em outro site. Não é necessário ter conhecimento avançado de como a Internet funciona para descobrir isso”, defendeu.
Certamente, essa é uma proposta que tem foco em leigos e novos usuários. Mas até mesmo usuários frequentes e cascudos, por causa da pressa ou falta de atenção, acabam vítimas do golpe. Basta o criminoso registrar um domínio que seja o mais parecido possível com o original e, em seguida, adquirir um certificado gratuito.
Por exemplo: “twiitter.com” ou “rnercadolivre.com.br”. Ao receber uma notificação por e-mail, é capaz dos mais distraídos acessarem sem perceber, fornecendo seus dados.
A correção sobre uso de caracteres
Sabe aqueles testes que mostram palavras incompletas ou com erros imperceptíveis, e que você acaba lendo como se estivessem bem escritos? O que torna isso possível é o uso de caracteres Unicode, ASCII e em outros idiomas (cirílico, grego e russo).
O Punycode, que é uma sintaxe de codificação que permite que qualquer caractere Unicode possa ser traduzido em uma cadeia de caracteres mais limitada e compatível com as URLs. Basta registrar um nome de domínio utilizando esses caracteres. Isso é tão simples de fazer que você pode criar suas próprias versões com um conversor.
O Chrome e outros navegadores bloquearam uso de Punycode, mas há browsers que ainda não fizeram movimentos em torno disso. Note que nem toda URL falsa, porém, faz uso da técnica (como nos exemplos acima usando Twitter e Mercado Livre).
Então, o problema continua…
Até agora, os esforços da equipe do Google Chrome se concentram em descobrir como detectar URLs que parecem desviar de alguma forma do padrão. Para isso, uma ferramenta de código aberto chamada TrickURI, lançada junto com a palestra de Stark, vai ajudar os desenvolvedores a verificar se o Chrome está exibindo URLs com precisão.
Além do TrickURI, Stark e seus colegas também estão trabalhando em avisos para os usuários do Chrome quando uma URL parecer “não confiável”. Os alertas ainda estão em testes no Canary, a parte complicada é o desenvolvimento de processos que sinalizam corretamente os sites maliciosos, sem prejudicar os sites legítimos.
“Nossa heurística para detectar URLs enganosas envolve comparar caracteres parecidos entre si e domínios que variam um do outro apenas por um pequeno número de caracteres”, disse Stark. “O objetivo é desenvolver um conjunto de heurísticas que afaste fraudadores de URLs extremamente enganosas, e um desafio importante é evitar suspeitar de domínios legítimos. Por isso estamos lançando o aviso como experimento”.
Stark enfatiza que usuários devem se concentrar no que chamou de “partes importantes das URLs” e refinar como o Google Chrome as apresenta, mas recuou e adiou seus planos de ocultar partes da URL — como a Apple fez com o Safari (saiba reverter).
O grande desafio é mostrar partes de URLs que são relevantes para segurança e tomada de decisões online, enquanto de alguma forma filtram todos os componentes extras que tornam os links longos difíceis de serem lidos e reproduzidos em teclado.
Às vezes, os navegadores também precisam ajudar com o inverso: expandindo URLs encurtados ou truncados. É bom lembrar, o Google já criou seus serviços de URL shortener: Goo.gl e G.co e encurtadores de link ainda são apontados como vilões.
Por enquanto, a URL continua…
A equipe de segurança do Google Chrome já enfrentou outros problemas antes, desenvolveu correções para o Chrome e, em seguida, isso motivou todos os outros navegadores a adotar prática similar. A estratégia tem sido particularmente bem-sucedida ao estimular um movimento em direção à adoção universal da criptografia.
A mesma influência usada para mudanças positivas pode ser mal direcionada, dizem os críticos. Mexer em algo tão fundamental quanto as URLs causa temores: as soluções podem ser boas para o Chrome, mas não necessariamente para o resto da Web. A grande popularidade do Google Chrome traz, também, uma grande responsabilidade.
Por enquanto, resta acompanhar como as ideias da equipe de segurança do Google Chrome se comportam na prática e se realmente acabam tornando tudo mais seguro.
Com informações ESET, Wired [1] e Wired [2]