dadosAutor: Antone Gonsalves

Pesquisadores da Universidade de Berkeley, na Califórnia, desenvolveram uma técnica que governos e provedores de serviços de Internet (ISPs) poderiam usar para burlar as conexões seguras e coletar informações pessoais valiosas.

O “ataque análise” no tráfego HTTPS tem 89% de precisão em determinar quais páginas web uma pessoa visitou, de acordo com os pesquisadores. Tal rastreamento permitiu que os pesquisadores coletassem informações sobre condições médicas, orientação sexual, situação financeira e se a pessoa está envolvida em um processo de divórcio ou de falência.

O estudo analisou mais de 463 páginas carregadas em 10 sites líderes da indústria norte-americana amplamente acessados.

Páginas de cuidados com a saúde incluíam o da Mayo Clinic, Planned Parenthood e Kaiser Permanente. Páginas financeiras incluíam Wells Fargo, Bank of America e Vanguard. Sites de serviços jurídicos pertencentes à American Civil Liberties Union e à Zoom Legal, além de sites de streaming de vídeo, incluindo Netflix e YouTube.

Para o ataque funcionar, os bisbilhoteiros teria que ter a capacidade de visitar as mesmas páginas web que as vítimas, o que possibilitaria aos atacantes identificar padrões no tráfego criptografado que seriam o indicativo das diferentes páginas.

“Seria como se alguém desse a você uma bicicleta, mas a desmontou e embrulhou cada pedacinho individualmente”, disse o coautor do estudo, Brad Miller, à CSO Online na ultima segunda-feira. “Você notaria rapidamente que há dois pacotes maiores que se parecem com rodas, um quadro, e um outro que corresponde à corrente, etc.”

“O mesmo acontece com uma página da Web. Porque vemos cada uma das partes serem entregues individualmente, acabamos tendo tanta informação que podem ser observadas sem descriptografar os pacotes que você muito provavelmente consegue identificar a página Web exata.”

Os agressores também devem ser capazes de observar o tráfego da vítima, o que permite a eles combinar esses padrões de pacotes com os de páginas web em particular.

Os pesquisadores também desenvolveram uma defesa que envolvia reduzir a quantidade de informações de pacotes que um atacante poderia reunir. A técnica baixou a precisão da identificação de páginas web visitadas por pessoas de 89% para 27%.

Privacidade

A pesquisa tem implicações de privacidade importantes. Ser capaz de analisar a atividade do usuário em um site de saúde pode revelar problemas de saúde, o que poderia levar à discriminação ou poderia ser vendido para os anunciantes que desejam lançar produtos.

Monitorar o tráfego de sites poderia revelar divórcio, falência ou imigração, enquanto que analisar o tráfego em um site bancário pode fornecer informações sobre se uma pessoa tem filhos, se está em um relacionamento de longo prazo, ou se possui uma renda alta.

Qualquer companhia com acesso ao tráfego HTTPS, como ISPs e redes comerciais com pontos de acesso Wi-Fi poderiam coletar dados de usuários apesar da criptografia e vender essas informações a anunciantes, de acordo com o estudo.

Os empregadores poderiam monitorar as atividades dos funcionários enquanto eles estão na rede corporativa, independente de eles estarem usando um dispositivo pessoal ou corporativo.

E, finalmente, os governos poderiam achar as informações coletadas úteis para encontrar criminosos e punir dissidentes políticos ou pessoas que desafiam os censores, segundo o estudo.

Na China, por exemplo, a empresa de mídia social Sina puniu recentemente mais de 100 mil usuários em suspensão de contas e advertência pública ocasional por violar as diretrizes do governo para o uso da Internet.

Fonte: IDG Now!