Sempre que você vir um pequeno cadeado na barra de endereço do seu navegador de internet, bem como quando você usa aplicativos, e-mail e mensagens, você está contando com algo chamado 'segurança da camada de transporte' ou TLS. É um protocolo que nos mantém seguros online.

Atrás desse pequeno cadeado está o código criptográfico que garante a segurança dos dados que passam entre você e, por exemplo, o site que você está vendo.

Na verdade, O TLS garante a segurança em três frentes:autenticação, criptografia e integridade. Autenticação, para que seus dados cheguem aonde você pensa que estão indo; criptografia, para que não vá a nenhum outro lugar; e integridade, para que não seja adulterado no caminho.

"É o protocolo de segurança mais popular da Internet, protegendo essencialmente todas as transações de comércio eletrônico, "Eric Rescorla, diretor de tecnologia da empresa americana de tecnologia Mozilla, disse a Horizon por e-mail.

Nas duas décadas anteriores a 2018, houve cinco revisões de TLS para acompanhar a sofisticação dos ataques online. Depois disso, muitos especialistas acreditam que a última encarnação, TLS1.2, estava seguro o suficiente para o futuro previsível, até que pesquisadores como o Dr. Karthikeyan Bhargavan e seus colegas do Instituto Nacional Francês de Pesquisa em Ciência e Tecnologia Digital (INRIA) em Paris apareceram.

Andaime

Como parte de um projeto chamado CRYSP, os pesquisadores estavam trabalhando em maneiras de melhorar a segurança dos aplicativos de software. Usualmente, os desenvolvedores de software confiam no TLS como um construtor depende de um andaime - em outras palavras, eles consideram sua segurança garantida.

Para melhorar a segurança no nível do software, Contudo, O Dr. Bhargavan e seus colegas tiveram que verificar minuciosamente se as suposições subjacentes sobre o TLS1.2 - que não tinha falhas graves - eram justificadas.

"Em algum ponto, percebemos que não eram, " ele disse.

Depois de descobrir algumas linhas de código instáveis, os pesquisadores trabalharam com a Microsoft Research e assumiram o papel de hackers, executar alguns ataques simulados no protocolo para testar a extensão de sua vulnerabilidade. Os ataques revelaram que era possível ser um 'homem no meio' entre um usuário da Internet e um provedor de serviços, como o Google, e, assim, roubar os dados desse usuário.

"Teria que ser uma sequência bastante complexa de ações, "explicou o Dr. Bhargavan." Normalmente, a pessoa no meio teria que enviar mensagens estranhas para cada ator para atraí-los para uma parte com erros do código. "

"Se, como a pessoa do meio, Eu tive sucesso, Eu poderia roubar os detalhes de pagamento de alguém, "ele continuou." Ou eu poderia fingir ser a Apple ou o Google, e baixar (inserir) malware por meio de uma atualização de software para obter acesso aos computadores das pessoas. "

Ameaça séria

Esse hacker precisaria de grande experiência e poder computacional, o de uma agência governamental, por exemplo, bem como acesso a algumas das infraestruturas físicas próximas aos principais atores. No entanto, a Internet Engineering Task Force (IETF), uma organização internacional que promove os padrões da Internet, considerou a ameaça suficientemente séria para justificar uma nova versão do protocolo criptográfico.

O Dr. Bhargavan destaca que ele estava longe de ser o único cientista da computação a solicitar a revisão. Havia quatro ou cinco outros grupos de pesquisa descobrindo problemas com o protocolo atual, empurrando um ao outro, ele diz, em uma rivalidade saudável.

Ainda, ele diz que seu grupo descobriu algumas das falhas mais surpreendentes no TLS1.2, que ele acredita podem ter sido os 'pregos finais no caixão' para o protocolo.

Seu grupo também fez parte de uma ampla colaboração dentro da comunidade da Internet, supervisionado por um grupo de trabalho da IETF, para construir o mais seguro, e o sucessor à prova de intermediários que é o TLS 1.3, usando algoritmos e técnicas modernas. "Dr. Bhargavan foi um jogador chave nesse esforço, "disse Rescorla, que supervisionava a TLS na IETF na época do trabalho.

O TLS 1.3 foi lançado oficialmente em agosto de 2018. Desde então, ele foi implementado pelos principais navegadores de internet, como Mozilla Firefox e Google Chrome.

Como resultado, quão mais seguros ficam os usuários da Internet?

Erro humano

É verdade que, para a maioria das violações de segurança online, TLS não tem culpa. Usualmente, os dados pessoais caem nas mãos erradas por causa de bugs no software - no qual o grupo do Dr. Bhargavan estava trabalhando para começar - ou erro humano.

Mas o Dr. Bhargavan acredita que há segurança em saber que o protocolo subjacente é seguro. "Não é tudo, mas, desde que você clique naquele cadeado, você terá alguma confiança em relação à segurança - é a coisa mais básica, " ele disse.

Além do mais, os usuários da Internet não se preocupam apenas com os hackers. Desde 2013, e os vazamentos de Edward Snowden, um ex-funcionário de um contratado da Agência de Segurança Nacional dos EUA, muitas pessoas estão preocupadas com a quantidade de dados pessoais acumulados pela inteligência do estado e grandes empresas.

Projetado com as revelações de Snowden em mente, O TLS 1.3 fecha a porta para alguns tipos desse monitoramento abrangente baseado em rede por meio da criptografia de dados e metadados do usuário. Também evita a descriptografia retrospectiva - um dos pontos fracos da versão anterior.

Houve uma longa discussão no grupo de trabalho da IETF sobre se a prevenção da vigilância era um dos objetivos do TLS, diz o Dr. Bhargavan. "E a resposta foi, em última análise, positiva, " ele disse.

Agora o Dr. Bhargavan está voltando à questão da segurança de software. Ele acredita que a maioria das vulnerabilidades restantes podem ser eliminadas na fase de design.

Verificado

Para fazer isso, ele e seus colegas estão construindo uma biblioteca, HACL *, de código criptográfico totalmente verificado, que outros desenvolvedores podem utilizar ao construir um novo software. Neste projeto, conhecido como CIRCUS, eles também estão criando um paradigma de referência fácil de seguir que informa aos desenvolvedores como montar o software sem introduzir falhas de segurança.

O software de alta garantia resultante já foi adotado por desenvolvedores da Mozilla e da Microsoft, entre outros. "Queremos que todos sigam essas técnicas, "Dr. Bhargavan disse.

Em última análise, seu objetivo não é proteger tudo online, mas para encontrar os locais mais seguros em nossos sistemas de computador altamente complexos. "Não acho que chegaremos a um ponto em que tudo seja verificado, " ele disse, 'mas podemos encontrar a cesta mais segura na qual podemos colocar nossas chaves, senhas e dados financeiros. "