[SECURITY-L] Demora na correcao de bug ameaca seguranca de sites

Daniela Regina Barbetti Silva daniela em ccuec.unicamp.br
Ter Ago 27 15:40:49 -03 2002 

----- Forwarded message from caio_sm <caio_sm em ibahia.com> -----

From: "caio_sm" <caio_sm em ibahia.com>
Subject: Demora na correção de bug =?iso-8859-1?Q?amea=E7a seguran=E7a?= de sites 
To: daniela em ccuec.unicamp.br
Date: Tue, 27 Aug 2002 18:13:52 GMT


27/08/2002 - 13h46 
Demora na correção de bug ameaça segurança de sites 
da Folha Online

Uma falha no sistema de segurança SSL (Secure Socket Layer), amplamente
utilizado por sites de bancos e lojas virtuais, continua ameaçando
internautas duas semanas depois de sua descoberta. O problema ainda não
corrigido pela Microsoft.

Um hacker sueco demonstrou a repórteres da agência de notícias Reuters o
quão simples é a invasão de sistemas bancários. Ele levou minutos para
invadir um servidor com software da Microsoft e chegou perto de manipular
informações financeiras dos clientes de quatro grandes bancos suecos que
usam o sistema SSL.

O SSL é um padrão da indústria para a transmissão de dados confidenciais
—como o número de seu cartão de crédito ou suas senhas— pela internet.

O especialista de segurança norte-americano Mike Benham, que descobriu o
bug, afirma que um hacker seria capaz de usar a falha para interceptar o
tráfego de dados entre o computador do internauta e o servidor de um site.

A Microsoft admite a existência do bug e diz estar desenvolvendo uma
correção para ele. Mas também tenta subestimar a importância da falha.

Segundo a empresa, as técnicas necessárias para promover um ataque são
complexas e também exigiriam condições favoráveis, como falta de
atualização de outros componentes dos servidores de sites.

Nesse caso, a Microsoft se dirige aos administradores de sites que não
costumam atualizar softs que mantêm suas páginas na internet, o que os
deixa vulneráveis aos bugs que surgem dia a dia.

Por outro lado, praticamente duas semanas se passaram sem que a empresa
colocasse na internet uma correção para o problema.

O concorrente KDE —uma das interfaces gráficas do sistema operacional
Linux— também foi afetado pelo bug, mas sua equipe de desenvolvimento
publicou uma correção no dia seguinte à descoberta de Benham. 



TEXTO RETIRADO DO SITE:


http://www.uol.com.br/folha/informatica/ult124u10844.shtml



Caio Souza Mendes

----- End forwarded message -----

Mais detalhes sobre a lista de discussão SECURITY-L