Você pode até não saber [e nem precisa] mas quando um site [como seu banco] se diz “seguro”, é porque um terceiro [uma autoridade certificadora, ou CA] emite um certificado dizendo que seu banco é seu banco e seu browser acredita nisso. há muitas formas de emitir e assinar tais certificados e uma delas, chamada MD5, usada por muita gente boa, tem deficiências conhecidas.
Conhecidas mas? muito difíceis de calcular, decodificar e usar para, na prática, assumir o controle de uma parte de alguma rede e “fazer de conta”, de forma que seu browser acredite, que um outro site que não é seu banco é? seu banco.
Isso até agora: um grupo de especialistas, usando um conjunto de novos resultados sobre [in]segurança de informação e um cluster de 200 PS3 acaba de detonar a segurança de MD5 e, por conseguinte, a de todos os sites que usam SSL [secure socket layer] assinados por criptografia MD5. simples assim. leia os detalhes aqui. [mas os detalhes, em detalhe, são muito complexos e obscuros e não estão explicados no link anterior;
Mesmo assim, o mundo ainda não acabou. a galera por trás da descoberta é do bem e estima que levará uns seis meses para que outros grupos repitam seu feito. e olha que, ao invés de um super-computador, eles só usaram uns consoles de games, que qualquer um de nós pode comprar por R$1.000 a unidade. imagine o retorno do investimento, sobre R$200 mil, se alguém conseguir fingir, com sucesso, por um dia que seja, que é o meu [ou o seu] banco por algumas poucas horas?
As forças do mal estão investindo, cada vez mais intensamente, em formas de roubar na internet, que se trata de um tipo de crime muito mais seguro, inclusive para os ladrões. a polícia federal brasileira estima que quase todos os crimes financeiros dignos de nota serão, em pouco tempo, realizados na rede.
Pensando bem, é hora de ligar pro meu ?e pro seu- banco e perguntar se eles são certificados por alguma forma de criptografia que envolve MD5. se a resposta for sim [ou não sei], é melhor fazer mais, muito mais perguntas até ter certeza de que o banco e as lojas online que usamos são, verdadeiramente, seguras.
http://www.washingtonpost.com/wp-dyn/content/story/2008/12/30/ST2008123001136.html
fonte: http://smeira.blog.terra.com.br/2008/12/30/internet-insegura-certificados-furados/
