Apple, Mozilla e Microsoft foram forçadas a retirar os certificados da empresa holandesa DigiNotar da lista de empresas confiáveis de seus navegadores de internet. O fato acontece depois de outras empresas como a Comodo e a StartCom também sofrerem ataques, enquanto dias depois outra empresa – a GlobalSign – admitiu que um invasor havia obtido acesso ao seu website. Essas são as empresas responsáveis pela “segurança” dos cadeados.

Os cadeados de segurança que aparecem em sites na internet são um sinal visual de que a troca e verificação dos certificados ocorreram com êxito. O nome técnico é SSL ou Secure Sockets Layer.

Na prática, o site envia um código para o computador do internauta que dá instruções para a codificação dos dados – chamado de “chave pública”. Esses dados, depois de codificados, podem ser apenas lidos pelo site que enviou o código usando a “chave privada”. Com isso, os dados ficam protegidos durante a transmissão e não podem ser interceptados, por exemplo, se você estiver usando o computador em uma rede Wi-Fi pública.

Ninguém precisa pagar nada para ter acesso a essa tecnologia. O que cabe a essas empresas é realizar é a “autenticação” das organizações – ou seja, garantir que apenas uma empresa tenha um certificado para o site “globo.com”, por exemplo, e que esse certificado, caso ainda não tenha sido emitido, seja emitido apenas para o verdadeiro responsável pelo site. Um criminoso jamais pode obter um certificado digital em um nome de um banco.

É por isso que essa tecnologia criptográfica envolve o que se chama de “certificados”. Essas empresas são essencialmente cartórios digitais. Os navegadores de internet é que decidem em quais “cartórios” eles confiam.

No entanto, a invasão à DigiNotar permitiu que um criminoso criasse certificados para vários sites, inclusive para endereços de páginas como Google e Yahoo. Usando outras técnicas como o envenenamento de DNS ou envenenamento em redes Wi-Fi, um criminoso poderia criar um ataque “perfeito” com páginas falsas idênticas às reais para o roubo de dados.

A tecnologia do SSL é simples, erros são difíceis de consertar e pelo menos uma empresa demonstrou incompetência para proteger seus sistemas. Os cadeados de segurança continuam sendo importantes, mas não se pode mais acreditar que sites falsos não podem ou não terão o cadeado. Os cadeados são especialmente importantes quando um site como um banco for acessado de uma rede pública – mas esse deveria ser um comportamento a ser evitado.

Veja a notícia completa em: http://g1.globo.com/tecnologia/noticia/2011/09/ataques-abalam-confianca-em-cadeado-de-seguranca-da-web.html