[SECURITY-L] Brasileiros descobrem falhas de segurança no Windows 2000

[Daniela Regina Barbetti Silva]

----- Forwarded message from "Andre Ap. Nogueira" <andre em agr.unicamp.br> -----

From: "Andre Ap. Nogueira" <andre em agr.unicamp.br>
Subject: Brasileiros descobrem falhas de segurança no Windows 
	2000]
To: Suporte Tecnico <suporte em trellis.com.br>,
	"paulo em ccuec.unicamp.br" <paulo em ccuec.unicamp.br>,
	"pserrano em ccuec.unicamp.br" <pserrano em ccuec.unicamp.br>,
	Daniela Regina Barbetti Silva <daniela em ccuec.unicamp.br>
Date: Thu, 18 Apr 2002 14:29:57 -0300



Brasileiros descobrem falhas de segurança no Windows 2000
-- 17/4/2002 --
TelecomWeb divulga com exclusividade conclusão do trabalho de mestrandos da
Unicamp provando que autenticação, via protocolo Kerberos, pode ser quebrada
Claudio Ferreira
Marcus Cunha Granado e Leonardo Zurstrassen, ambos de 26 anos, descobriram
em pesquisas para o trabalho de conclusão de mestrado, realizado pelo
primeiro, em Segurança pelo Instituto de Computação da Unicamp, que o
protocolo Kerberos, presente na autenticação do Windows 2000, não
apresentava a segurança que a Microsoft sempre alardeou. Depois de publicado
pela universidade e discutido com uma banca de professores, os resultados do
trabalho só agora são revelados ao público, com exclusividade pelo
TelecomWeb. Ironicamente, o manuscrito foi discutido em um congresso de
segurança, o Wseg 2001, realizado em Santa Catarina.
Implementado no Windows 2000 como uma resposta às críticas do mercado
relacionadas à autenticação segura em sistemas, o protocolo Kerberos era
tido como invulnerável até mesmo por hackers, como comprova a última edição
do livro Hacking Exposed, de Stuart McClure, Joel Scambray e George Kurtz,
Editora Foundstone, de 2001, na página 229. Consta no texto, quando se fala
em ataques de password guessing: "...Window´s 2000´s Kerberos logon
architecture is not vulnerable to such attackes...". Resumindo, o Kerberos
seria totalmente seguro em ataques ligados a descoberta de senhas. 
A dupla de estudantes procurou o editor técnico da IT Mídia, Nivaldo
Foresti, para respaldar a descoberta. Depois de uma série de testes
realizados no IT Lab, constatou-se a fragilidade do Kerberos e foi iniciado
o contato com a Microsoft Brasil para que a companhia desse uma posição
sobre o problema. O primeiro encontro, realizado no dia 15 de março,
resultou em diversas reuniões e culminou com o teste realizado nas
instalações da Microsoft em São Paulo, no dia 4 de abril. Depois de algumas
horas, para acerto do ambiente proposto pelos mestrandos, a prova foi
evidenciada por técnicos da fabricante. 
A Microsoft não apresentou quaisquer registros desse problema em seus bancos
de dados e a sua averiguação foi repassada para a matriz da empresa, em
Redmond, nos Estados Unidos. Depois de 13 dias de espera e sem qualquer
sinal concreto de data para uma posição da fabricante, a redação achou por
bem revelar o acontecido ao mercado, até como uma forma de acelerar os
trâmites internos da Microsoft. No entanto, ainda aguardamos a posição
oficial da companhia para futura publicação. 
Como paradoxo irônico da história, os mestrandos (Marcus Cunha Granado e
Leonardo Zurstrasser) estão desempregados no momento. Com a colaboração da
dupla, as revistas Information Week (de 2 de maio) e a Network (de maio)
trarão toda a definição técnica do problema e, se possível, a resposta da
Microsoft para a deficiência do Kerberos. 
Nivaldo Foresti, editor técnico da IT Mídia, colaborou com esta matéria 

----- End forwarded message -----