sexta-feira, 12 de março de 2010
Aurea
Pesquisador revelou brecha que permitiu criação de código malicioso.
Colunista também fala sobre mudanças no site SecurityFocus.
A Microsoft costuma lançar atualizações de segurança apenas uma vez por mês: na segunda terça-feira útil. Neste mês, segunda terça-feira útil foi nesta semana (9) e, com ela, chegou o pacote de atualizações.
Dois boletins de segurança corrigem um total de 8 falhas, sendo 7 no Excel e apenas uma no Movie Maker. Nenhuma das atualizações é crítica. Porém, enquanto a Microsoft fecha alguns buracos, outro, ainda mais grave, aparece: uma falha crítica no Internet Explorer que já está sendo explorada na web, e que pode forçar a Microsoft a quebrar o cronograma e lançar uma atualização emergencial.
Também nesta semana: Pesquisadores conseguem extrair chaves de segurança RSA, Symantec mudará tradicional site “SecurityFocus”
Também nesta semana: Pesquisadores conseguem extrair chaves de segurança RSA, Symantec mudará tradicional site “SecurityFocus”
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e deixe-a na seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
>>> Atualizações da Microsoft corrigem falhas no Movie Maker e no Excel
A Microsoft liberou na terça-feira (9) as atualizações de segurança do mês. Tímido, o pacote trouxe apenas dois boletins, um deles para o Movie Maker e o outro para o Excel. A atualização para o Excel é notória, porém, porque corrige um total de 7 vulnerabilidades no programa.
Os dois boletins são considerados apenas “importantes” para o Microsoft, embora a empresa admita que criminosos devem conseguir facilmente tirar proveito das brechas – 5 das 7 falhas do Excel, e a única corrigida no Movie Maker, receberam o valor “1” no índice de exploração, o que significa que as falhas são fáceis de explorar.
As atualizações podem ser baixadas automaticamente pelo Windows, configurando-as no Painel de Controle, ou pelo site do Microsoft Update. Atualizar o sistema é importante para se proteger dessas falhas e evitar ataques que venham a utilizá-las.
>>> Atualizações da Microsoft corrigem falhas no Movie Maker e no Excel
A Microsoft liberou na terça-feira (9) as atualizações de segurança do mês. Tímido, o pacote trouxe apenas dois boletins, um deles para o Movie Maker e o outro para o Excel. A atualização para o Excel é notória, porém, porque corrige um total de 7 vulnerabilidades no programa.
Os dois boletins são considerados apenas “importantes” para o Microsoft, embora a empresa admita que criminosos devem conseguir facilmente tirar proveito das brechas – 5 das 7 falhas do Excel, e a única corrigida no Movie Maker, receberam o valor “1” no índice de exploração, o que significa que as falhas são fáceis de explorar.
As atualizações podem ser baixadas automaticamente pelo Windows, configurando-as no Painel de Controle, ou pelo site do Microsoft Update. Atualizar o sistema é importante para se proteger dessas falhas e evitar ataques que venham a utilizá-las.
>>> Pesquisador dá informação “demais” e programador cria código malicioso
Post em blog da McAfee revelou localização de vírus que, ao serem analisados, deram informações sobre a brecha.
Logo após iniciar a distribuição de suas atualizações, a Microsoft alertou para uma nova brecha no Internet Explorer que já estava sendo usada em ataques pela internet. Ao tentar dar mais alguns detalhes sobre o problema, um pesquisador da McAfee acabou revelando informações que permitiram a um programador obter todos os dados técnicos necessários para desenvolver um código capaz de explorar a vulnerabilidade.
O próprio programador que criou o código, o israelense Moshe Ben Abu, informou à imprensa que obteve as informações necessárias com o post no blog da McAfee. Como ainda não há uma correção, para a falha, ela é considerada “dia zero”.
Agora é fácil encontrar na rede um “exploit” (código que explora uma brecha) para essa nova falha no Internet Explorer. O problema existe nas versões 6 e 7 do Internet Explorer; a única solução, por enquanto, é instalar o Internet Explorer 8. Se um site usar a falha, ele pode instantaneamente copiar pragas digitais para o computador do internauta.
Segundo informações da McAfee, o vírus tem o objetivo de dar o controle total do sistema ao criminoso. Porém, como um exploit está disponível na internet, é provável que outros ataques, com outras cargas maliciosas, apareçam rapidamente.
Se a Microsoft seguir o cronograma, uma atualização deve ser disponibilizada apenas no dia 13 de abril – a segunda terça-feira útil do próximo mês, porque as atualizações de março já foram disponibilizadas, como informa a nota logo acima nesta coluna. Devido à gravidade do problema, é possível que uma atualização emergencial seja criada.
>>> Pesquisadores conseguem extrair chaves de segurança RSA
Três pesquisadores da Universidade de Michigan publicaram um artigo no qual demonstram um método capaz de quebrar chaves de segurança do tipo RSA de 1024 bits. Essas chaves são consideradas seguras e são usadas com frequência, por exemplo, em aplicações seguras de internet, como sites de compras e bancos on-line, para codificar a transmissão e impedir que qualquer outro sistema na internet possa ver o conteúdo transmitido.
Os pesquisadores Andrea Pellegrini, Valeria Bertacco e Todd Austin conseguiram essa façanha controlando a voltagem do processador de tal maneira que o processamento da chave de criptografia gere erros e assinaturas inválidas. Uma assinatura é o resultado de uma operação na qual a chave de criptografia é usada para autenticar a origem de uma informação, como uma assinatura comum feita em papel, mas digitalmente.
Analisando essas assinaturas falsas geradas, os pesquisadores conseguiram extrair a chave privada, que seria o equivalente a conseguir realizar cópias perfeitas de uma assinatura e ainda decodificar qualquer transmissão protegida com aquela chave. O ataque foi realizado usando o software OpenSSL, responsável pelo famoso “cadeado de segurança” usado em sites da web. Chaves RSA, porém, são usadas em várias outras aplicações.
Embora seja um ataque tecnicamente interessante, as consequências reais ainda são discutíveis. No blog “Educated Guesswork”, o especialista Eric Rescorla lembra que, para conseguir controlar a voltagem do processador, é necessário acesso físico ao computador que hospeda a chave. Quem possuir um acesso desse tipo provavelmente pode obter a chave de maneiras mais simples. Outra questão é o hardware: nem sempre é possível controlar a voltagem do processador como os pesquisadores fizeram.
>>>Symantec mudará tradicional site “SecurityFocus”
O próprio programador que criou o código, o israelense Moshe Ben Abu, informou à imprensa que obteve as informações necessárias com o post no blog da McAfee. Como ainda não há uma correção, para a falha, ela é considerada “dia zero”.
Agora é fácil encontrar na rede um “exploit” (código que explora uma brecha) para essa nova falha no Internet Explorer. O problema existe nas versões 6 e 7 do Internet Explorer; a única solução, por enquanto, é instalar o Internet Explorer 8. Se um site usar a falha, ele pode instantaneamente copiar pragas digitais para o computador do internauta.
Segundo informações da McAfee, o vírus tem o objetivo de dar o controle total do sistema ao criminoso. Porém, como um exploit está disponível na internet, é provável que outros ataques, com outras cargas maliciosas, apareçam rapidamente.
Se a Microsoft seguir o cronograma, uma atualização deve ser disponibilizada apenas no dia 13 de abril – a segunda terça-feira útil do próximo mês, porque as atualizações de março já foram disponibilizadas, como informa a nota logo acima nesta coluna. Devido à gravidade do problema, é possível que uma atualização emergencial seja criada.
>>> Pesquisadores conseguem extrair chaves de segurança RSA
Três pesquisadores da Universidade de Michigan publicaram um artigo no qual demonstram um método capaz de quebrar chaves de segurança do tipo RSA de 1024 bits. Essas chaves são consideradas seguras e são usadas com frequência, por exemplo, em aplicações seguras de internet, como sites de compras e bancos on-line, para codificar a transmissão e impedir que qualquer outro sistema na internet possa ver o conteúdo transmitido.
Os pesquisadores Andrea Pellegrini, Valeria Bertacco e Todd Austin conseguiram essa façanha controlando a voltagem do processador de tal maneira que o processamento da chave de criptografia gere erros e assinaturas inválidas. Uma assinatura é o resultado de uma operação na qual a chave de criptografia é usada para autenticar a origem de uma informação, como uma assinatura comum feita em papel, mas digitalmente.
Analisando essas assinaturas falsas geradas, os pesquisadores conseguiram extrair a chave privada, que seria o equivalente a conseguir realizar cópias perfeitas de uma assinatura e ainda decodificar qualquer transmissão protegida com aquela chave. O ataque foi realizado usando o software OpenSSL, responsável pelo famoso “cadeado de segurança” usado em sites da web. Chaves RSA, porém, são usadas em várias outras aplicações.
Embora seja um ataque tecnicamente interessante, as consequências reais ainda são discutíveis. No blog “Educated Guesswork”, o especialista Eric Rescorla lembra que, para conseguir controlar a voltagem do processador, é necessário acesso físico ao computador que hospeda a chave. Quem possuir um acesso desse tipo provavelmente pode obter a chave de maneiras mais simples. Outra questão é o hardware: nem sempre é possível controlar a voltagem do processador como os pesquisadores fizeram.
>>>Symantec mudará tradicional site “SecurityFocus”
SecurityFocus é famoso por seu banco de vulnerabilidades e listas de discussão.
O SecurityFocus, um dos sites mais tradicionais da área de segurança da informação, sofrerá mudanças. Boa parte do conteúdo atual será movido para o Symantec Connect, uma espécie de rede social criada para clientes empresariais e parceiros da fabricante do antivírus Norton.
O site é mais conhecido pelo seu banco de dados de vulnerabilidades e pelas várias listas de discussão que hospeda, entre as quais a famosa “Bugtraq”, na qual diversas vulnerabilidades são anunciadas por pesquisadores em primeira mão. Essas listas continuarão operando normalmente, segundo o comunicado do site, e com a mesma equipe que hoje é responsável por elas. A parte de notícias do site, porém, será cancelada.
O SecurityFocus foi fundado em 1999 e adquirido pela Symantec em 2002. É um dos poucos portais de segurança de seu gênero operados por empresas antivírus, mas sua seção de notícias estava recebendo pouca atenção há tempos. Praticamente o único jornalista atuante era Robert Lemos. Entre os jornalistas que já trabalharam no portal está Kevin Poulsen, um hacker que hoje trabalha para a revista Wired como editor do blog de segurança Threat Level.
A coluna Segurança para o PC de hoje fica por aqui, mas volta na segunda-feira (15) para falar sobre a dificuldade em revelar ou não informações de segurança – como ocorreu com a recente falha da Microsoft exposta por um pesquisador da McAfee. Bom fim de semana!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
O site é mais conhecido pelo seu banco de dados de vulnerabilidades e pelas várias listas de discussão que hospeda, entre as quais a famosa “Bugtraq”, na qual diversas vulnerabilidades são anunciadas por pesquisadores em primeira mão. Essas listas continuarão operando normalmente, segundo o comunicado do site, e com a mesma equipe que hoje é responsável por elas. A parte de notícias do site, porém, será cancelada.
O SecurityFocus foi fundado em 1999 e adquirido pela Symantec em 2002. É um dos poucos portais de segurança de seu gênero operados por empresas antivírus, mas sua seção de notícias estava recebendo pouca atenção há tempos. Praticamente o único jornalista atuante era Robert Lemos. Entre os jornalistas que já trabalharam no portal está Kevin Poulsen, um hacker que hoje trabalha para a revista Wired como editor do blog de segurança Threat Level.
A coluna Segurança para o PC de hoje fica por aqui, mas volta na segunda-feira (15) para falar sobre a dificuldade em revelar ou não informações de segurança – como ocorreu com a recente falha da Microsoft exposta por um pesquisador da McAfee. Bom fim de semana!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
0 comentários:
Postar um comentário