[SECURITY-L] Hacker quebra protocolo para bancos da MS

[Daniela Regina Barbetti Silva]

----- Forwarded message from Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br> -----

From: Jacomo Dimmit Boca Piccolini <jacomo em cais.rnp.br>
Subject: [S] Noticias-CAIS: Hacker quebra protocolo para bancos da MS
To: <seguranca em pangeia.com.br>
Date: Tue, 27 Aug 2002 15:56:52 -0300 (EST)

Noticias - Centro de Atendimento a Incidentes de Seguranca (CAIS/RNP)
---------------------------------------------------------------------

[fonte:http://www2.uol.com.br/info/aberto/infonews/082002/27082002-8.shl]

Hacker quebra protocolo para bancos da MS

Terça-feira, 27 de agosto de 2002 - 14h56

ESTOCOLMO (Reuters) - Sistemas de segurança de software amplamente usados
para operações bancárias e de comércio eletrônico podem ser violados com
facilidade, e as contas de clientes em diversos dos maiores bancos suecos
continuam em risco por causa disso, disse um especialista em computadores
na segunda-feira.

O especialista sueco em invasão de computadores, muito conhecido no ramo
de segurança da computação mas que pediu que seu nome não fosse
mencionado, demonstrou à Reuters como era possível, em questão de minutos,
romper a segurança do software para servidores da Microsoft (MSFT.O).

O especialista mostrou de que maneira violar os sistemas de segurança para
transações bancárias na Internet, invadindo três dos quatro grandes bancos
suecos em rápida sucessão. Depois, ele demonstrou de que maneira esconder
seus traços, para dificultar as investigações posteriores.

Embora não tenha invadido nenhuma conta de cliente, o hacker que hoje
trabalha como consultor disse que um intruso poderia ter ocultado
instruções para a transferência de quantias a uma conta diferente quando o
contribuinte autorizar pagamentos via sua conta bancária na Internet.

O consultor se aproveitou de uma variação em um ponto fraco revelado duas
semanas atrás na implementação da Microsoft para o Secure Socket Layer
(SSL), um protocolo de segurança para a transmissão de números de cartão
de crédito e senhas de contas via web.

``É um protocolo fácil de invadir'', disse o especialista em computadores,
acrescentando que ``ele não oferece a segurança que os usuários acreditam
oferecer''.

A técnica de ataque explora uma combinação de vulnerabilidades sobre as
quais a Microsoft exerce controle apenas parcial. Uma grande parte da
culpa recai sobre os administradores de redes nos bancos e outras
organizações, que não instalam devidamente o software da Microsoft, diz
ele.

Usando o método, um invasor pode se conectar como cliente de um site de
banco, usando um certificado de autenticação, e ganhar acesso ao diretório
base do site, entrando na rede interna da instituição financeira por esse
caminho.

MICROSOFT E BANCOS MINIMINIZAM AMEAÇA

A Microsoft respondeu os recentes relatos de falhas no SSL admitindo a
existência dos problemas. A companhia afirmou que está trabalhando para
desenvolver um meio para resolvê-los, mas ao mesmo tempo minimizou os
temores de que as falhas representam uma ameaça de segurança generalizada.

``Tais técnicas são difíceis, temporárias e geralmente exigem uma rede
favorável'', afirmou a companhia em um artigo técnico localizado em
www.microsoft.com/technet/default.asp.

A Microsoft na Suécia negou que o SSL possa ser invadido da maneira
mostrada à Reuters.

``Eu nem consigo ver uma possibilidade teórica disso acontecer'', disse
Mats Lindkvist, responsável por segurança na Microsoft na Suécia.

O hacker entrevistado pela Reuters afirmou que um atacante pode passar
pela segurança por meio de centenas de computadores, tornando a detecção
do crime quase impossível, uma vez que a polícia precisaria de quatro a
cinco meses para traçar o rastro do bandido em apenas 10 computadores.

Mike Benham, consultor de segurança de São Francisco e primeiro a revelar
a falha do SSL, mostrou como a invasão ocorre:

``Um atacante pode transferir do site seguro o tráfego (de dados) da
vítima, de maneira invisível, enquanto intercepta todas as informações de
acesso.''

Segundo especialistas em sistemas de computadores, muitas das mais
importantes instituições financeiras do mundo são vulneráveis de maneira
semelhante a dos quatro bancos suecos porque confiam em software que usa o
protocolo SSL aceito pela indústria.

Todos os quatro bancos suecos afirmaram que não estão cientes sobre
qualquer invasão. Apesar disso um porta-voz de um deles afirmou que nenhum
sistema pode ser perfeito.

``Se o homem pode viajar para a Lua, mais cedo ou mais tarde alguém vai
ser capaz de passar pelos sistemas de segurança'', disse o chefe de
relações com a imprensa do banco Swedbank, Jesper Berggren, à Reuters.



----- End forwarded message -----