Geral 2min de Leitura - 11 de janeiro de 2021

Chaves de segurança com hardware podem ser clonadas?

Tela de login com campo de senha preenchida

This post is also available in: Português

Sim, mas é um processo bem caro e complexo. Ainda assim, é fundamental se cercar de cuidados ao utilizar esse tipo de Autenticação de Dois Fatores (2FA).

Para driblar as investidas dos cibercriminosos, várias empresas começaram a criar métodos de acesso que exigem um pequeno equipamento para concluir o login. É como se fosse necessário ligar um pendrive muito específico ao computador sempre que um funcionário precisasse colocar sua senha para entrar no sistema da empresa. Mesmo que alguém tivesse o password, precisaria ter em mãos o dispositivo – que fica o tempo todo com seu dono, anexado ao seu molho de chaves, por exemplo.

Esse conceito se expandiu, e hoje chaves de segurança de hardware, como o Google Titan, passaram a ser um sinônimo de proteção corporativa. Afinal, tornam muito mais difícil o trabalho de crackers e golpistas digitais. Mas um grupo de pesquisadores mostrou que é possível clonar o equipamento. Contudo, precisam ter ele consigo por horas e investir em equipamentos sofisticados – e caros.

Pesquisadores da empresa de segurança NinjaLab conseguiram fazer um clone de uma chave de segurança 2FA do Google Titan. O processo usa uma vulnerabilidade presente no chip do dispositivo.

Difícil, mas possível

Apesar de viável, o trabalho não é nada prático. Requer acesso físico à chave original por horas, envolve jogar no lixo o invólucro que leva o chip, milhares de dólares em equipamentos e softwares customizados. E mais: o invasor também precisa da senha da conta da vítima.

Após um processo de clonagem com esse sistema, a ideia é que a chave original seja colocada de volta em uma nova carcaça e devolvida ao proprietário – tudo isso, obviamente, sem que ele perceba nada, algo que lembra um roteiro de filme de ação. Porém, é totalmente possível, e não é seguro duvidar do empenho de criminosos virtuais. Afinal, eles vivem disso.

Nesse contexto, tal possibilidade é preocupante para empresas que dependem de chaves 2FA – mesmo que seja grande a quantidade de informações e o esforço que um invasor necessita para fazer isso. Além disso, precisar da chave e da senha é outro grande obstáculo.

Outra questão é que chegar à chave envolve destruir o invólucro do original. Isso significa que a substituição precisa ser convincente, pois a vítima pode perceber que seu equipamento foi “mexido” e rapidamente trocar as senhas. Só precisa fazer isso mais rápido do que o cracker.

Como escapar

Assim, para evitar um ataque desse tipo, algumas dicas simples são bastante eficientes. E devem ser adotadas o quanto antes, pois a estratégia dos cibercriminosos logo pode ser aperfeiçoada e demandar menos passos para dar certo.

A primeira sugestão é muito conhecida: ter senhas fortes. A posse de um dispositivo de autenticação de dois fatores não elimina a necessidade de fazer passwords de dez – ou mais – dígitos, e que incluam letras, números, maiúsculas, minúsculas e caracteres especiais.

Além disso, deve-se cuidar do dispositivo 2FA da mesma forma que se trata a chave do carro ou da casa, ou seja, em um lugar seguro – como o bolso do proprietário o tempo todo.

Não é exagero também adicionar alguma marca no equipamento. Há casos de pessoas que colocam uma mancha de esmalte no dispositivo, por exemplo. É algo difícil de reproduzir caso alguém queira criar um clone fidedigno, que não gere nenhuma suspeita sobre sua real condição e origem.

Quando surgir alguma dúvida sobre ter sido atingido por um ataque do tipo, deve-se acessar o sistema, remover a chave e substituí-la. O Google também pode detectar chaves clonadas usando seu recurso de contadores FIDO U2F.

Seja qual for o caso, é preciso ter em mente que os dispositivos físicos de autenticação de dois fatores não são barreiras intransponíveis para os crackers. De fato, tornam bem mais difícil a vida dos cibercriminosos, mas acredite: eles já estão trabalhando para conseguir invadir com menos esforços.

This post is also available in: Português