Vulnerabilidade Freak afeta windows 7, 8, 8.1 e server 2012

Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012.

Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012



Pensou-se que os sistemas Windows a não seriam afetados, mas a Microsoft revelou agora que todas as versões do seu sistema operacional estão em risco.

Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012

Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012

"Nossa investigação verificou que a vulnerabilidade pode permitir que um invasor forçe um downgrade das chaves RSA usadas ​na conexão SSL/TLS do sistema Windows", disse a Microsoft em uma página web sobre a falha.

Além da interceção das comunicações e de passwords, a vulnerabilidade Freak pode ser usada para alterar as páginas de um site. A ZDnet refere ainda que o uso forçado de versões de encriptação antigas afeta soluções RSA entre os 40 bits e os 512 bits. Milhões de sites estarão vulneráveis a esta falha - entre eles, os da Casa Branca, NSA e FBI.

João Miguel Neves, perito em tecnologias radicado no Reino Unido, não perdeu a oportunidade e fez fez um teste simples com alguns sites bancários, à semelhança do que já tinha feito quando se conheceu a vulnerabilidade batizada de Poodle.

A Microsoft disse que ainda não tem conhecimento se a vulnerabilidade Freak afetou algum de seus clientes

A Microsoft disse que ainda não recebeu informações que sugira que todos os clientes tinham sido afetados pela vulnerabilidade Freak. A microsoft também publicou uma sugeridas, incluindo desativação e troca de chaves RSA
 
 

Como a sugestão de correção da Microsoft são um pouco complexas e devido ao grande trabalho de fazer esta correção em "muitos" PCs, se os leitores do Suporte Ninja fizerem muita pressão o Suporte Ninja vai desenvolver um script para efetuar as correções sugeridas pela Microsoft automaticamente!

A vulnerabilidade Freak SSL/TLS descoberto por pesquisadores que descobriram que era possível decifrar os protocolos de criptografia HTTPS usados ​​entre sites e navegadores em dispositivos da Apple e Android.

O nome da vulnerabilidade Freak vem de (Factoring attack on RSA-Export Keys) e informações no site freakattack.com website

criado especificamente explica que ele funciona, forçando um navegador do dispositivo móvel para usar, um padrão mais antigo de criptografia facilmente quebrável.

Vulnerabilidade Freak, afeta windows 7, 8, 8.1 e server 2012
A vulnerabilidade Freak SSL/TLS permite que atacantes para interceptar as conexões HTTPS entre clientes e servidores vulneráveis ​​e os force a usar a criptografia export-grade, que pode ser facilmente decifrada ou alterado


Mascote do Suporte Ninja
Quanto mais você aprende, mais deve compartilhar porque o conhecimento que você acabou de adquirir, sempre existiu antes de ser revelado a você. Compartilhe e de a chance para mais alguém se beneficiar desse conhecimento.


Continuando...

"Os dispositivos expostos a vulnerabilidade freak ​​incluem muitos dispositivos do Google e da Apple (que usam OpenSSL sem a correção), e muitos outros produtos de software que usam TLS sem desabilitar as chaves recomendadas pela microsoft que possuem as criptografia vulneráveis."

A vulnerabilidade Freak SSL/TLS foi descoberta por uma equipe de pesquisadores da SmackTLS.com, que explicou que o problema existe por causa da ex-política do governo dos EUA sobre tecnologias de criptografia.

Como o nome indica, esta classe de algoritmos foi introduzido sob a pressão de agências norte-americanas para garantir que a Agência de Segurança Nacional - NSA seria capaz de decifrar toda a comunicação criptografada estrangeira, enquanto que os algoritmos mais fortes foram proibidos pois eles foram classificados como armas de guerra ".

A história da vulnerabilidade Freak começou a ser escrita no início dos anos 1990, quando a NSA incentivou a Netscape a usar criptografias de 40 e 128 bits. A intenção era boa – mas acabou por produzir efeitos indesejados passados mais de 20 anos. No ano 2000, os browsers adotaram criptografias mais robustas. O que também pode ser encarado como uma decisão cheia de boas intenções. Só que o inferno está cheio de boas intenções – e de criptografias obsoletas. Nos últimos 15 anos, foram sendo adicionadas criptografias mais robustas, mas aquelas que eram usadas nos anos 1990 mantiveram-se disponíveis para quem as quisesse ativar. Hoje há milhões de sites que continuam a aceitá-la. E mais: todas versões do Windows também estão vulneráveis, confirmou a Microsoft.

Inúmeros sites conceituados são afetados pela falha, como americanexpress.com, groupon.com e whitehouse.gov. Além de boa parte dos sites que estão no topo do ranking Alexa.

A V3 contactou a Apple e Google para comentar sobre a falha, mas não recebeu qualquer resposta até o momento.

O pesquisador da F-Secure Sean Sullivan disse ao V3 que a descoberta sublinhou os riscos de tentar controlar tecnologias como criptografia, algo que David Cameron tem feito muito barulho no Reino Unido.

"Na década de 1990 houve a ideia de que eles poderiam controlar criptografia e código como se fosse uma coisa tangível e proibir a sua exportação. Aqui estamos 20 anos depois e você pode ver como esse ideal saiu pela culatra ", disse ele.

"Cameron está fazendo este mesmo ponto de hoje, mas a nossa dependência de criptografia só está a aumentar e, se você tentar introduzir alguma norma" para enfraquecer as criptografias "é certeza que uma hora isso se volte para você."

Sullivan acrescentou que o risco para os usuários da Internet devido a vulnerabilidade Freak é muito teórica, o invasor precisa ter acesso ao servidor de um site e em seguida, forçar um dispositivo para aceitar o padrão mais antigo.

Fonte: Dan Worth - V3.co.uk

Todos os direitos reservados a Suporte Ninja
Blog do Suporte Ninja: Blog Suporte Ninja


Curta Suporte Ninja no Facebook


Entre no Grupo do Suporte Ninja no Facebook:






O Suporte Ninja disponibiliza espaço no site para que qualquer pessoa que queira contribuir com nosso ideal de produzir, coletar e divulgar informação tentando disponibilizar de forma gratuita material complementar para uma melhor formação profissional em TI, buscamos uma maior conscientização sobre tecnologias sustentáveis além de fornecer dicas que possam otimizar a experiência online dos usuários, seja na produtividade ou na segurança da informação.


No Suporte Ninja procuramos nos manter em um ponto de vista neutro e buscamos respeitar a diversidade de opiniões, todas as informações acima são de responsabilidade do autor e suas fontes, e estão sujeitas a alterações sem aviso prévio.


Mascote do Suporte Ninja
Se gostou da nossa iniciativa comente, curta ou compartilhe! Esse estímulo é muito importante para a nossa equipe e reflete diretamente na possibilidade de trazermos maisconteúdos que você venha a gostar!

Esperamos que tenha sido útil...

Se encontrar algo errado com o site não esqueça que o Site é nosso... <br> Se você quiser perguntar ou sugerir algo para nossa equipe use este link! ou Clique aqui para enviar sua postagem:


Começe a testar Grátis as ferramentas em nuvem do Google
Teste o Google Apps For Work com os cupons do Suporte Ninja e garanta um desconto de $10 Dólares para comprar no Google For Work…

"AE3NNJ6KXTHJ6V" & "6W7NGXXAV7JNVC"


Ou use o  CUPON de desconto do Suporte Ninja T3HJ6JDJKCLRRQH e você vai ganhar um desconto de 20% no Google For Works :)


Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes

Quebrando criptografia através das Paredes Este artigo demonstra ao público em geral que existem formas de ataque que podem ser feitas aos algoritmos criptográficos que fogem do aspecto matemático, ...
Leia Mais
Windows 10 te espiona mesmo desabilitando a telemetria

Windows 10 te espiona mesmo desabilitando a telemetria

Há algum tempo atrás postei em nosso grupo do Linked-IN (Criptografia Brasil) vários artigos sobre o fato do Windows 10 espionar dados de usuário - e até solicitei uma resposta da ...
Leia Mais
Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza aulas de programação de graça

Microsoft disponibiliza cursos de programação de graça A Microsoft disponibilizou as aulas no site com todo o conteúdo das aulas de programação dos cursos oferecidos na Semana do Código , que aconteceu ...
Leia Mais
Rússia quer banir o Windows para incentivar mercado de software local

Rússia quer banir o Windows para incentivar mercado de software local

Uma decisão bastante controversa, mas ao mesmo tempo totalmente esperada, pode acabar entrando em vigor na Rússia pelas mãos do consultor nacional para a internet German Klimenko. Em mais ...
Leia Mais
Como fazer uma limpeza profunda em sistemas Debian e derivados

Como fazer uma limpeza profunda em sistemas Debian e derivados

Muitos usuários do sistema operacional Linux e até Admins de distros voltadas para servidores acreditam que a manutenção do linux se baseia apenas em alguns apt-gets update e upgrades durante ...
Leia Mais
100 comandos importantes do Linux

100 comandos importantes do Linux

Resumo de 100 Comandos Importantes Linux Veja neste artigo uma lista dos comandos mais importantes do linux e uma breve explicação de cada um deles. Lista de comandos mais ...
Leia Mais
ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis

ONU reabre inscrições para curso técnico gratuito em energias renováveis A formação permite que os alunos sejam capazes de desenvolver projetos de energia renovável.  O curso online foi desenvolvido ...
Leia Mais
Sua Smart TV pode estar risco de segurança

Sua Smart TV pode estar risco de segurança

As Smart-TV´s rodando o sistema operacional Android fornecem funcionalidades adicionais aos usuários, além de TVs normais, mas também criam um risco de segurança, conforme a Trend Micro revela. A Internet das Coisas (IoT) está ...
Leia Mais
Os melhores Apps de Smartphone para aprender programação

Os melhores Apps de Smartphone para aprender a programar

A partir de agora use o seu tempo livre no ônibus, faculdade ou ate mesmo em seu trabalho para aprender novas linguagens. Chega de conversa e vamos lá. Hoje ...
Leia Mais
Os 2 Melhores Cursos gratuitos de Arduino

Os 2 Melhores Cursos gratuitos de Arduino

O Suporte Ninja encontrou dois ótimos cursos gratuitos de Arduino (O curso de Android do Laboratório de Garagem e o curso da Pictronics onde você aprende mais sobre eletrônica e até a confeccionar o seu próprio ...
Leia Mais
74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos como iriam diferenciar uma VPN boa de uma Maliciosa?

74% dos internautas não sabem diferenciar arquivos maliciosos 74% dos internautas não sabem detectar arquivos potencialmente maliciosos de arquivos confiáveis, vamos explicar com calma a polemica das VPNs gratuitas do ...
Leia Mais
Caixas-Pretas de navios e aviões podem ser Hackeadas?

Caixas-Pretas de navios e aviões podem ser Hackeadas

As caixas-pretas utilizadas para registro de dados em navios e aviões possuem diversas vulnerabilidades que permitem um atacante modificar ou apagar os dados presentes nestes dispositivos Caixas-Pretas de navios ...
Leia Mais
Conheça CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

CIFRA EXTREMA: Um criptografador realmente seguro e 100% nacional

Conheça a alternativa brasileira do mundo da criptografia que esta dando um banho nos concorrentes internacionais, CIFRA EXTREMA criptografador realmente seguro e 100% nacional: Algoritmo 100% nacional e sem backdoors.  O CIFRA EXTREMA ...
Leia Mais
Minicurso de Google Analytics com certificado Gratuito

Minicurso de Google Analytics com certificado Gratuito

Curso online com certificado 100% grátis: O guia completo do Google Analytics Princípios básicos e avançados para se medir e gerar resultados. Entenda a importância de conhecer e mensurar ...
Leia Mais

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC

Curso de HTML5 – Grátis, Completo e Com Certificado reconhecido pelo MEC! Curso completo para quem quer aprender a criar sites utilizando as tecnologias de HTML5 + CSS3 + ...
Leia Mais
Tablets com malware instalado de fábrica na Amazon e outras lojas...

Tablets com malware instalado de fábrica na Amazon e outras lojas...

Cheetah Mobile, uma empresa de segurança para dispositivos móveis, mostrou nesta semana que pelo menos 30 marcas diferentes de tablets com Android vendidos na Amazon e outras lojas virtuais ...
Leia Mais
Video Aula - Curso Completo de programação em C

Video Aula - Curso de Introdução a programação em C

Video Aula - Curso Introdução a programação em C: Se você conhece alguma coisa de programação, já deve ter ouvido falar na linguagem C. As principais características da linguagem ...
Leia Mais
Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação.

Curso gratuito de Python para Profissionais de Segurança da Informação. Não é necessário saber Python a partir de um nível de completo conhecimento linguagem de programação. (Curso é em ...
Leia Mais
Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Cursos Gratuitos de (HTML, C#, Java e Android) para iniciantes

Formação Programação para iniciantes (HTML, C#, Java e Android) gratuita. Você que está iniciando no mundo de desenvolvimento e não sabe qual área irá iniciar, o DevMedia desenvolveu uma formação ...
Leia Mais
Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

Curso gratuito de C ++ e com certificado de Desenvolvimento Orientado a Objeto

O objetivo deste curso é proporcionar ao aluno conhecimentos, competências e habilidades no desenvolvimento de aplicações em C ++, Curso gratuito e com certificado de C ++ de 35 ...
Leia Mais
Starbug afirma e prova: Biometria é falha

Starbug afirma e prova: Biometria é falha

A coisa soa meio maluca, mas em tratando-se de Starbug, eu não riria... Starbug é o pseudônimo de Jan Krissler, um camarada prá lá de excêntrico, mas que assusta ...
Leia Mais

Pablo The Roots

Usuário de MS-DOS e Windows 3.11, profissional de Suporte desde 1999, autodidata e entusiasta da cultura Hacker, Pesquisador autônomo da Segurança da Informação além de amante da Shell Unix. [email protected] ~$ sudo su - [email protected] ~# find / -iname corrupção -exec rm -rfv {} \+

Você pode gostar...

5.061 Resultados