Achei esse artigo de 2003 /* old but gold */, The Cost of Monopoly: How the Dominance of Microsoft's Products Poses a Risk to Security, em português algo como: "O custo do monopólio: Como o domínio de produtos da Microsoft representa um risco à segurança".
O artigo custou o emprego de um dos co-autores, Dr. Daniel Geer foi demitido do @Stake, fornecedor na Micro$oft.
Transcrevo o artigo abaixo:
terça-feira, 22 de abril de 2014
quarta-feira, 9 de abril de 2014
Heartbleed - Falha grave no OpenSSL afeta 2/3 da Internet.
Heartbleed é uma falha grave no OpenSSL, biblioteca de código mais popular do mundo para a implementação de criptografia HTTPS em sites , servidores de e -mail e aplicações. Esta vulnerabilidade permite roubar informações protegidas, em condições normais, pela criptografia SSL/TLS usada para proteger a 2 terços dos sites da Internet.
Com a exploração é possível obter as credenciais de usuário, chaves privadas de encriptação, assinaturas e certificados X.509, tudo isso sem deixar nenhum vestígio ou log.
Já saiu o Patch de correção: https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3
Versões afetadas:
OpenSSL 1.0.1 até 1.0.1f (inclusive) são vulneráveis
OpenSSL 1.0.1g não é vulnerável
OpenSSL 1.0.0 não é vulnerável
OpenSSL 0.9.8 não é vulnerável
CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Exploit: http://www.exploit-db.com/exploits/32764/
Sites vulneráveis em 8 de abril (de 2014)
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Produtos Cisco vulneráveis:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
Aplicativo para ver se o seu celular está vulnerável:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector (Android)
Notícias:
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
http://g1.globo.com/tecnologia/noticia/2014/04/falha-grave-vaza-dados-de-dois-em-cada-tres-sites-seguros-da-web.html
http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/
Que a Força esteja com vocês!
Fonte: http://heartbleed.com/
Com a exploração é possível obter as credenciais de usuário, chaves privadas de encriptação, assinaturas e certificados X.509, tudo isso sem deixar nenhum vestígio ou log.
Já saiu o Patch de correção: https://github.com/openssl/openssl/commit/96db9023b881d7cd9f379b0c154650d6c108e9a3
Versões afetadas:
OpenSSL 1.0.1 até 1.0.1f (inclusive) são vulneráveis
OpenSSL 1.0.1g não é vulnerável
OpenSSL 1.0.0 não é vulnerável
OpenSSL 0.9.8 não é vulnerável
CVE: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2014-0160
Exploit: http://www.exploit-db.com/exploits/32764/
Sites vulneráveis em 8 de abril (de 2014)
https://github.com/musalbas/heartbleed-masstest/blob/master/top1000.txt
Produtos Cisco vulneráveis:
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20140409-heartbleed
Aplicativo para ver se o seu celular está vulnerável:
https://play.google.com/store/apps/details?id=com.lookout.heartbleeddetector (Android)
Notícias:
http://blog.cloudflare.com/answering-the-critical-question-can-you-get-private-ssl-keys-using-heartbleed
http://g1.globo.com/tecnologia/noticia/2014/04/falha-grave-vaza-dados-de-dois-em-cada-tres-sites-seguros-da-web.html
http://arstechnica.com/security/2014/04/critical-crypto-bug-exposes-yahoo-mail-passwords-russian-roulette-style/
Que a Força esteja com vocês!
Fonte: http://heartbleed.com/
terça-feira, 8 de abril de 2014
R. I. P. Windows XP
Hoje (8 de abril de 2014) é o fim da vida do Windows XP. \0/
Depois de 12 anos de operação, o Sistema Operacional proprietário não terá mais atualizações de segurança nem suporte técnico.
Segundo informações da própria Micro$oft, computadores rodando Windows XP /* por exemplo, o ATM do seu banco */ não devem ser mais considerados seguros /* Em algum momento eles foram?? */ É bem provável que os crackers estejam guardando os exploits para depois da data de hoje.
Fonte: http://www.microsoft.com/en-us/windows/enterprise/end-of-support.aspx
Depois de 12 anos de operação, o Sistema Operacional proprietário não terá mais atualizações de segurança nem suporte técnico.
Segundo informações da própria Micro$oft, computadores rodando Windows XP /* por exemplo, o ATM do seu banco */ não devem ser mais considerados seguros /* Em algum momento eles foram?? */ É bem provável que os crackers estejam guardando os exploits para depois da data de hoje.
 |
| O Windows XP ainda é o segundo Sistema Operacional mais utilizado no Brasil. |
Assinar:
Postagens (Atom)