Destaques

Solicite sua guia

Contribuição para Fortalecimento Sindical 2023

Programa Estagiário Legal

Tenha estagiários com segurança jurídica

Cadastre-se no TI Rio Notícias

Receba em seu e-mail pauta das assembleias, notícias do setor de TI, agenda de eventos e muito mais

Mais notícias

Solicite o recolhimento gratuito de lixo eletrônico20/06/2024

Contribuição Assistencial para o Fortalecimento Patronal - Mensagem de nosso Presidente18/06/2024

CAMPANHA LIXO ELETRÔNICO 202405/06/2024

Governo e Congresso chegam a acordo sobre desoneração da folha de 17 setores09/05/2024

Descoberta falha de segurança que pode ser mais perigosa que o bug Heartbleed

09/06/2014

<>Apenas dois meses após a descoberta do bug Heartbleed, brecha de segurança que permite que hackers roubem senhas de usuários em muitos sites da web e aplicativos móveis, um pesquisador do Japão revelou na quinta-feira, 5, a existência de uma nova falha no OpenSSL, protocolo de criptografia usado na internet para proteger informações sigilosas, como as senhas, a qual "pode ser mais perigosa do que o Heartbleed", já que poderia ser usada para espionar diretamente as comunicações das pessoas, segundo afirmou ao jornal britânico The Guardian.

De acordo com Tatsuya Hayashi, pesquisador do laboratório Lepidum que encontrou a nova brecha de segurança, a falha, denominada SSL / TLS MITM (CVE-2014-0224), existe há pelo menos 15 anos e foi introduzida pelo mesmo homem responsável pelo Heartbleed. Segundo ele, os hackers podem usar esta vulnerabilidade para interceptar dados confidenciais do computador de um alvo, enquanto conectados à mesma rede. A nova vulnerabilidade está presente em todas as compilações de OpenSSL anteriores às versões OpenSSL 1.0.1 e 1.0.2 beta e coloca em risco computadores, tablets e telefones celulares.

Em uma rede Wi-Fi pública, por exemplo, hackers podem usar o bug OpenSSL para interceptar nomes de usuário, senhas e dados de cartões de crédito de outras pessoas na rede e até mesmo alterar os dados enviados e recebidos por outros computadores, ataque também conhecido como "man-in-the-middle" – forma de ataque em que os dados trocados entre duas partes são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas percebam.

Segundo alertou Nick Percoco, vice-presidente de serviços estratégicos da empresa de segurança Rapid7, o trabalho de corrigir o bug encontrado por Hayashi é provável que seja muito maior do que o de reparação do Heartbleed, alertou Nick Percoco, vice-presidente de serviços estratégicos da empresa de segurança Rapid7. "Do ponto de vista de remediação, na verdade, é pior para as organizações que executam o OpenSSL em servidores. O Heartbleed apenas afetou versões datadas de dois anos atrás", disse ele.

No entanto, muitos navegadores populares parecem estar a salvo de ataques, conforme observou o engenheiro de segurança do Google, Adam Langley. "Clientes que não usam o OpenSSL (Internet Explorer, Firefox, Chrome, iOS, Safari, etc) não serão afetados. Não obstante, todos os usuários devem atualizar seus navegadores", declarou.

Site: TI Inside
Data: 06/06/2014
Hora: 12h22
Seção: ------
Autor: ------
Link: http://convergecom.com.br/tiinside/06/06/2014/descoberta-falha-de-seguranca-que-pode-ser-mais-perigosa-que-o-bug-heartbleed/#.U5Icf3JdXfI