|
Pesquisadores de Lausanne, na Suíça, descobriram um bug no protocolo SSL, amplamente utilizado na web para garantir transações seguras. Até o momento, o protocolo era considerado inviolável. Outros pesquisadores, contudo, afirmam que o problema está na implementação, e não no protocolo, e não é preocupante.
Segundo notícia publicada no portal IBLNews, os pesquisadores provam que é possível obter em menos de uma hora a senha usada por um internauta para se logar a um site de banco ou de comércio eletrônico. Eles também revelam que conseguiram desenvolver um programa capaz de capturar senhas em sistemas protegidos pelo SSL. Assim, podem conectar-se a sistemas e realizar transações financeiras em nome do usuário.
Os pesquisadores, no entanto, garantem que, antes de divulgar a existência da falha, entraram em contato com a OpenSSL (www.openssl.org), entidade que desenvolve o protocolo SSL, que já tem uma nova versão corrigida, a 0.9.7a. Criado pela Netscape, o SSL propicia transações seguras mediante a criptografia dos dados que trafegam entre a máquina do usuário e o servidor ao qual está conectado.
Apesar do impacto da notícia, especialistas no mundo inteiro dizem que há um exagero nas afirmações de que o protocolo foi quebrado. Para eles, a vulnerabilidade descoberta corresponde a um erro na implementação, e não no protocolo.
Paul Kocher, presidente e cientista-chefe da empresa Cryptography Research, técnico que projetou a versão 3.0 do SSL, está entre os que pensam dessa forma. Ele publicou um artigo no site Slashdot.org, no qual dá explicações técnicas e busca tranqüilizar os usuários que fazem compras e transações financeiras na web.
Ele diz que o estudo dos pesquisadores suíços é legítimo, embora o problema não afete nem operações de comércio eletrônico, transações bancárias online e serviços de webmail.
|
