Vendedores lutando para consertar bug na segurança da rede

Fabricantes de software o mundo está lutando para consertar um bug sério na tecnologia usada para transferir informações com segurança na Internet.

A falha está no protocolo SSL, mais conhecido como a tecnologia usada para navegação segura em sites iniciados com HTTPS, e permite invasores interceptam comunicações SSL (Secure Sockets Layer) seguras entre computadores usando o que é conhecido como um ataque man-in-the-middle.

Embora a falha só possa ser explorada sob certas circunstâncias, ela pode ser usada para invadir servidores compartilhados Ambientes de hospedagem, servidores de email, bancos de dados e muitos outros aplicativos seguros, de acordo com Chris Paget, um pesquisador de segurança que estudou o problema

[Leia mais: Como remover malware do seu PC com Windows]

"É um falha de nível de protocolo. " disse Paget, o diretor de tecnologia de uma consultoria de segurança chamada H4rdw4re. "Há muitas coisas que precisam ser consertadas neste: navegadores da Web, servidores Web, balanceadores de carga da Web, aceleradores da Web, servidores de e-mail, servidores SQL, drivers ODBC, protocolos ponto a ponto." > Embora um atacante primeiro precise invadir a rede da vítima para iniciar o ataque man-in-the-middle, os resultados seriam devastadores - especialmente se usado em um ataque direcionado para obter acesso a um banco de dados ou a um servidor de e-mail., Paget disse.

Porque é tão amplamente utilizado, o SSL está constantemente sob o microscópio de pesquisadores de segurança. No final do ano passado, os pesquisadores descobriram uma maneira de criar certificados SSL falsos que seriam confiáveis ​​por qualquer navegador, e em agosto pesquisadores revelaram um punhado de novos ataques que poderiam comprometer o tráfego SSL. Mas ao contrário desses ataques, que tinham a ver com a infra-estrutura usada para gerenciar os certificados digitais do SSL, este último bug está no próprio protocolo SSL e será muito mais difícil de consertar.

Mais complicando é o fato de que o bug foi inadvertidamente A questão foi descoberta em Auguust por pesquisadores da PhoneFactor, uma empresa de segurança de telefonia móvel. Eles vinham trabalhando nos últimos dois meses com um consórcio de fornecedores de tecnologia chamado ICASI (Consórcio da Indústria para o Avanço da Segurança na Internet) para coordenar uma solução ampla para o problema, apelidada de "Projecto Mogul". planos cuidadosos foram colocados em desordem quarta-feira quando o engenheiro da SAP Martin Rex tropeçou no bug por conta própria. Aparentemente inconsciente da gravidade da questão, ele postou suas observações sobre o assunto em uma lista de discussão da IETF (Internet Engineering Task Force). Foi então divulgado pelo pesquisador de segurança HD Moore.

Na tarde de quarta-feira, muitas pessoas estavam falando sobre a questão que o PhoneFactor decidiu divulgar com suas descobertas. "Naquele momento, sentimos que os bandidos sabiam e sentimos que tínhamos a responsabilidade de os mocinhos também saberem", disse Sarah Fender, vice-presidente de marketing da PhoneFactor.

Fender não sabia quem estava pronto para corrigir a questão, mas ela observou que uma série de produtos de código aberto estão "ansiosos" para retirar um patch. "Acho que veremos alguns remendos no futuro próximo", disse ela.

O ICASI não pôde ser encontrado para comentar na noite de quarta-feira.

Embora especialistas em segurança digam que a falha provavelmente existe há anos, não é pensado para ter sido explorado em todos os ataques.

"Embora consideremos que seja uma vulnerabilidade material, não é o fim do mundo", disse Fender.