Por que um antivírus pode 'substituir' as homologações de sites com cadeado?

Tira-dúvidas comenta prática que interfere no acesso a sites seguros e explica como programas antivírus atuam dessa forma. Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados etc.), envie um e-mail para [email protected]. A coluna responde perguntas deixadas por leitores às terças e quintas-feiras.

Informação sobre autoridade certificadora no Firefox.

Reprodução

Instalei um antivírus no meu computador, desde então, quando clico no "cadeadinho" de sites com HTTPS, aparece que a página segura foi homologada pela empresa do antivírus. Está assim em todos os sites, inclusive os dos bancos. No navegador Firefox vem um alerta que a Mozilla não reconhece a entidade certificadora. Está certo isso? – Fabio Lima

Infelizmente, sim, provavelmente essa situação está de acordo com o funcionamento esperado do antivírus.

Sites HTTPS (que fazem o "cadeado" de segurança aparecer) são criptografados durante sua transmissão. Em termos simples, isso quer dizer que os dados chegam embaralhados ao seu computador. Apenas o navegador web (o Chrome, Firefox ou Edge, por exemplo) detém a chave necessária para decifrar os dados.

Leia mais colunas do blog

Isso cria um "problema" para o antivírus, já que o software de segurança não terá como enxergar as informações transmitidas – seja um site acessado ou um arquivo que você está baixando. Nesse cenário, é possível que a análise em tempo real do antivírus ocorra com atraso, diminuindo a eficiência ou até deixando de bloquear uma possível contaminação.

Em alguns casos, o antivírus pode utilizar métodos alternativos para ter acesso a algumas informações. Mesmo que a criptografia impeça o antivírus de ver qual site você está acessando, ainda é possível bloquear páginas maliciosas por meio de uma extensão do navegador, por exemplo.

Apesar disso, os responsáveis pela solução antivírus podem não ficar satisfeitos com esses métodos, preferindo alternativas ainda mais agressivas. É aí que entra a interferência com as conexões HTTPS (sites seguros).

Na prática, o antivírus configura a si próprio como uma autoridade certificadora confiada pelo sistema operacional e substitui todos os certificados de segurança. Com isso, ele garante que o navegador vai se conectar ao próprio antivírus em vez do site verdadeiro. O antivírus poderá decifrar os dados e checá-los, atuando como um "pedágio". Ele também puxa para si a responsabilidade de checar a confiabilidade dos certificados dos sites visitados – e por isso o navegador não exibe mais o nome correto.

Então, apesar de ser uma "gambiarra" e interferir em outro recurso de segurança, há desenvolvedores de antivírus que entendem que a "troca" é válida. Poucas pessoas conferem o nome da empresa que homologa certificados. Em teoria, interferir nas conexões seguras é arriscado, o que exige imensa cautela por parte dos desenvolvedores de antivírus.

Pessoalmente, eu não gosto desse tipo de prática. Se houvesse uma opção no antivírus para desabilitá-la, eu a utilizaria. No entanto, a maioria das fabricantes não recomenda que esse recurso seja desativado.

Vale saber: Embora o Microsoft Defender (o antivírus incluído no Windows) não interfira nas conexões HTTPS, todos os programas executados pelo Windows são conferidos em um serviço da Microsoft – o que significa que a Microsoft recebe o nome de todos os programas executados em seu computador. O Windows simplesmente retarda a execução dos programas até conseguir realizar a análise – ou mostra um erro informando que a análise foi malsucedida. Esse recurso (chamado SmartScreen) pode ser desativado, mas reduz a proteção contra programas maliciosos.

O que significa o 'cadeado' das páginas web?

O "cadeado" exibido pelo navegador significa que a página que você está acessando corresponde ao endereço acessado. Ou seja, desde que o endereço na barra do navegador esteja correto, você está navegando no site legítimo. Mas ele não garante a segurança nem a idoneidade da página.

A verificação dos sites é realizada por empresas chamadas de "autoridades certificadoras" (ACs). Quando o dono de um site quer deixar sua página com um cadeado, ele precisa consultar uma AC e realizar um procedimento. No fim, o dono da página terá um certificado digital específico para o endereço do seu site e assinado pela autoridade responsável pela certificação.

Esse certificado digital será configurado no site e enviado ao navegador durante a conexão. Os navegadores vêm configurados com uma lista de ACs confiáveis e, se a autoridade que assinou o certificado estiver na lista, o cadeado aparece para mostrar que a página foi verificada.

A "homologação" é esse processo de verificação, e a empresa que aparece como responsável por ela é a autoridade certificadora.

O conteúdo da página não faz parte do processo de verificação. A maioria dos certificados digitais emitidos hoje também conferem apenas o endereço e não garantem a identidade do dono do site (a pessoa física ou empresa). Na prática, é muito comum que sites maliciosos tenham certificados e, portanto, possam usar criptografia para dificultar a atuação de algumas soluções de segurança.

Dúvidas sobre segurança digital? Envie um e-mail para [email protected].

Assista vídeo sobre SEGURANÇA DIGITAL no G1