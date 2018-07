Um americano descobriu vulnerabilidade em e-mail de empresas como Google e Apple que possibilitava fraudes

SÃO PAULO - Zachary Harris, um matemático norte-americano de 35 anos, um dia recebeu um e-mail do Google lhe oferecendo um emprego como programador na empresa. Desconfiado a respeito da autenticidade da mensagem, Harris acabou descobrindo que a companhia e outras gigantes de tecnologia como Twitter, Yahoo, Paypal e Apple tinham uma grande fragilidade em seu sistema de e-mails, que possibilitava fraudes.

Sem ao menos saber do que se tratava uma chave DKIM, o matemático descobriu falha nos domínios de grandes empresas de tecnologia. FOTOS: Reprodução/Wired

Em reportagem da revista inglesa Wired, Harris conta que resolveu examinar o header (cabeçalho com informações sobre o remetente, assunto e data), para ver se não se tratava de um scam (tipo de trapaça virtual) – e viu que a mensagem era legítima. No entanto, o matemático também notou que o Google estava usando uma chave DKIM de 512 bits, considerada “fraca” e fácil de ser quebrada, uma vez que o indicado é no mínimo 1.024 bits.

A chave DKIM (Domain Keys Identified Mail) é uma criptografia que autentifica o domínio de um remetente de e-mail – no caso, google.com. A ferramenta assegura que um e-mail seja enviado com a identificação do domínio que nele consta. Assim, caso a chave seja corrompida, o e-mail fica vulnerável e pode ser utilizado por qualquer pessoa.

Harris considerava improvável a possibilidade de o Google ser tão relapso quanto a esse quesito; logo, pensou se tratar de um teste de programação para candidatos da dita vaga. Mesmo não estando interessado no emprego, com ajuda de um servidor da Amazon, Harris decodificou a chave utilizando fatoração. Resolveu, então, mandar um e-mail para os fundadores do Google Larry Page e Sergey Brin, com um detalhe: um fingindo ser o outro.

O e-mail, contudo, veio com uma “cutucada” – seu site pessoal:

Oi Larry, Aqui está uma ideia interessante ainda em desenvolvimento: http://www.everythingwiki.net/index.php/… ou, se essa acima te incomoda, tente esta no lugar: http://everythingwiki.sytes.net/index.ph… Acho que deveríamos investigar se o Google poderia se envolver com esse cara de alguma forma. O que você acha? - Sergey

O matemático criou uma maneira de eventuais respostas dos dois serem enviadas para o seu e-mail pessoal; no entanto, elas nunca vieram. Em vez de um retorno, dias mais tarde, ao conferir novamente a chave DKIM empregada no domínio do Google, ele notou a mudança de 512 bits para 2.048 bits – impossível de ser quebrada com a infraestrutura de um servidor qualquer. Além disso, viu que seu site pessoal estava sendo muito acessado por IPs provenientes de endereços do Google.

Assim, ele resolver testar domínios de outras empresas de tecnologia e descobriu que uma série delas, como PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn e Twitter, apresentava o mesmo problema. Ou seja, seria possível mandar e-mails fajutos de qualquer um desses domínios com certa facilidade. Ele classifica como fracas as chaves de criptografia com 384, 512 e 768 bits.

“Posso quebrar uma chave de 384 bits no meu laptop em 24 horas”, disse Harris à Wired. “A de 512, posso quebrar em cerca de 72 horas usando serviços online da Amazon por US$ 75. Fiz isso algumas vezes. Daí vem as chaves de 768 bits: essas não podem ser quebradas por uma pessoa normal, com recursos como os meus”, explicou. “Mas o governo do Irã provavelmente poderia, ou um grupo grande com muitos recursos de computação.”

De acordo com Harris, a maioria das empresas que ele contatou nos últimos meses trocou suas chaves, embora algumas ainda estejam caminhando lentamente. Depois de levar o tema ao Centro de Coordenação CERT da Universidade Carnegie Mellon, nos Estados Unidos, em agosto, decidiu vir a público e alertar outras empresas sobre a fragilidade de segurança.

De acordo com o serviço de certificação dos Estados Unidos (US-CERT), Google, Yahoo e Microsoft estavam utilizando chaves inapropriadas, mas já as corrigiram.

“O fato de eu ter entrado nessa história sem saber o que era um cabeçalho DKIM mostra que alguém com conhecimento técnico suficiente pode resolver esse problema”, disse o matemático.