segunda-feira, 20 de fevereiro de 2012

TECNOLOGIA BANCÁRIA - Falha em criptografia de dados ameaça internet banking

Sistemas erram ao gerar códigos aleatórios, o que pode afetar e-commerce e e-mails
O Globo

RIO - Um pesquisador europeu e um americano descobriram uma falha na geração da criptografia que protege operações de e-commerce e transações financeiras na internet, além de sistemas de e-mail.A falha envolve a criação de chaves públicas de criptografia, usadas para garantir a segurança em ambientes onde serão fechadas transações comerciais e financeiras. No caso de uso de tokens, essas chaves públicas são combinadas com chaves criptográficas privadas em posse do usuário para acessar o sistema.

As chaves públicas são geradas pelos sistemas on-line da seguinte maneira: cria-se um número imenso, obtido a partir da multiplicação de dois números primos bem grandes, mantidos em segredo. Esse número codifica a mensagem ou transação on-line.

Para o sucesso das operações, os números primos secretos usados no cálculo da chave pública original precisam ser gerados de forma completamente aleatória pelos sistemas. E foi aí que os cientistas descobriram a falha: nem todos os sistemas conseguem alcançar essa característica aleatória, o que ocasiona uma potencial brecha de segurança.

Com números originais sempre aleatórios nas operações, um hacker teria tremenda dificuldade para quebrar a segurança das operações e mensagens digitais. Mas, com a vulnerabilidade encontrada, será necessário fazer mudanças na segurança dos sites, dizem os especialistas.

O criptoanalista independente James Hughes, do Vale do Silício, e o matemático holandês Arjen Lenstra, da Escola Politécnica Federal de Lausanne, na Suíça, examinaram mais de 7 milhões de chaves públicas de criptografia usadas para proteger e-mails e operações bancárias. Destas, 27 mil se mostraram fáceis de decodificar para encontrar os números primos que as obtiveram — e, assim, quebrar a proteção dos sistemas que supostamente protegem.

— Isso é um alerta que demonstra enfaticamente a dificuldade de gerar chaves seguras no mundo real — disse Hughes ao “New York Times”. — Aquelas chaves estão acessíveis a qualquer um que se proponha a refazer nosso trabalho.

Para o estudo, os pesquisadores analisaram vários bancos de dados com chaves públicas de criptografia, incluindo uma no Massachusetts Institute of Technology (MIT) e outra na Electronic Frontier Foundation (EFF).

— Fomos bem cuidadosos, não interceptamos nenhum tráfego de dados em redes — afirmou Hughes. — Apenas baixamos as chaves públicas e as estudamos.

Os cientistas dizem que, se conseguiram chegar às vulnerabilidades, é bem provável que organizações de hackers também o tenham feito. “Nossos métodos não foram sofisticados, o que torna difícil crer que estamos apresentando algo desconhecido dos interessados nesse tema”, dizem no estudo.



Fonte O Globo http://oglobo.globo.com/tecnologia/falha-em-criptografia-de-dados-ameaca-internet-banking-4021284#ixzz1mueQIOMF
© 1996 - 2012. Todos direitos reservados a Infoglobo Comunicação e Participações S.A. Este material não pode ser publicado, transmitido por broadcast, reescrito ou redistribuído sem autorização. 


    

Nenhum comentário:

Postar um comentário