Certificação digital brasileira é vulnerável a nova técnica desenvolvida por pesquisadores

Pesquisadores conseguiram obter dados encriptados por dispositivos de segurança de informação que utilizam a especificação PKCS #1 v1.5, utilizada em dispositivos como o RSA SecurID 800 e, também, na encriptação de certificação digital da Estrutura de Chaves Públicas Brasileira (é possível consultar a especificação aqui).

A vulnerabilidade foi desenvolvida por um grupo de cientistas da computação que se intitulam Team Prosecco, e apresentarão sua tese na conferência CRYPTO 2012, a acontecer em agosto.

A característica mais notável dessa solução é que ela é capaz de extrair informações em 10 minutos, ao invés de adotar um procedimento de tentativa-e-erro que, geralmente, duram horas.

Romain Bardou, Riccardo Focardi, Yusuke Kawamoto, Lorenzo Simionato, Graham Steel e Joe-Kai disseram que o ataque funciona contra uma vasta variedade de dispositivos que protegem o acesso a redes de computadores ou que encriptam emails, incluindo cartões de identificação eletrônica, tokens USB e smartcards, tecnologias que são utilizadas por muitos governos.

Descobrimos, também, que a forma de encriptação vulnerável, a PKCS #1 v1.5 também é adotada pela Estrutura de Chaves Públicas Brasileiras, conforme se confere no manual fornecido pela ICP Brasil ( http://www.iti.gov.br/twiki/pub/Homologacao/Documentos/MCT9_-_Vol.I.pdf ).

O ataque se baseia na exploração de função de importação de chaves encriptadas de uma variedade de dispositivos criptográficos. O texto cifrado é submetido a diversas centenas de modificações para gradualmente produzir pistas da informação legível, em uma técnica apelidada de "padding oracle attack". Esta técnica é um refinamento de outra vulnerabilidade originalmente desenvolvida pelo pesquisador conhecido como Bleichenbacher.

Clique aqui e veja a íntegra da pesquisa.

Califórnia proíbe que empregadores solicitem de seus funcionários senha de redes sociais

A Assembléia Legislativa da Califórnia aprova lei que proíbe que empregadores ou agenciadores de emprego solicitem acesso às contas pessoais de redes sociais de seus funcionários.

O projeto de lei foi proposto dias após congressistas terem proposto legislação similar no nível federal, ideia esta que foi originada de diversos relatos de empregadores solicitando as senhas de funcionários ou entrevistados para vagas de emprego.

O Estado de Maryland já tinha aprovado, meses atrás, lei similar proibindo o pedido de senhas, além de outros três Estados americanos já terem legislação com esta previsão.

A legislação federal, que poderia vincular os demais Estados dos EUA, foi incentivada pela American Civil Liberties Union, porém encontra algumas críticas, entre elas a que não abrange estudantes ou universitários em relação aos administradores das instituições de ensino.

O acesso a dados pessoais não é um problema trivial, tendo em vista que a cessão de senhas poderia permitir que o empregador tivesse acesso a mensagens privadas do Facebook, fotos e até emails.

O Facebook já se manifestou publicamente sobre a questão, anunciando que estas referidas solicitações dos empregadores consistem em violação ao Termo de Direitos e Responsabilidades da empresa, que expressamente veda o compartilhamento ou solicitações de senhas por terceiros.

Em junho de 2009, a cidade de Bozeman, em Montana, estreou nas manchetes da mídia local ao descobrirem que o formulário de proposição a empregos perguntava pelo login e senha dos potenciais candidatos em sites de relacionamentos sociais, incluindo Facebook, Twitter, Youtube e Google.
O jornal Calgary Herald reportou, também, similar incidente no Canadá.

Fonte: Wired

Pesquisador da UnB expõe falha técnica grave em urna eletrônica do TSE

O Prof. Dr. Diego Aranha, da Universidade de Brasília, liderou equipe que descobriu, em março, uma falha na urna eletrônica brasileira durante um teste de segurança autorizado pelo Tribunal Superior Eleitoral (TSE).

Os testes foram permitidos pelo Tribunal Superior Eleitoral que convocou especialistas em segurança da informação para analisar, em um ambiente controlado, a urna eletrônica e o software de processamento de votos.

O grupo conseguiu quebrar a única defesa da urna eletrônica para garantir o sigilo dos votos, identificando a hora e a quem foi destinado o primeiro voto, o segundo, o terceiro, o quarto, e, assim, sucessivamente. Esta vulnerabilidade permite a violação do sigilo dos votos dos eleitores que utilizaram a máquina, sendo suficiente que alguém anotasse, nas proximidades da sessão eleitoral, a hora que cada eleitor votou.

O grupo do professor Aranha conseguiu desembaralhar os votos gravados no arquivo chamado Registro Digital do Voto (RDV) sem deixar rastros ou vestígios do ataque, obtendo sucesso pleno na violação sem mesmo tocar nas urnas.

Segundo o professor, “Nós demonstramos que é possível, sim, montar um ataque com o objetivo de fraudar o sigilo do voto. Não se trata de provocar falha ou defeito, como está no relatório. Também não achamos que a pontuação reflita com precisão os nossos resultados.”

Leia a entrevista completa em:

http://www.viomundo.com.br/denuncias/diego-aranha-fragilidade-de-urna-brasileira-abre-caminho-para-voto-de-cabresto-digital.html

http://g1.globo.com/platb/seguranca-digital/2012/05/28/falha-na-urna-brasileira-reproduzia-fielmente-erro-de-1995-diz-professor/

Veja a palestra do professor em:

https://sites.google.com/site/dfaranha/projects/testes-publicos-urna-eletronica.pdf