Talvez interesse para alguns da lista.
Fonte:
http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=AC09EF6E-CA70
-4509-9ACF-E77111686E07&ChannelID=21080105
-------------------------------------------------------------
Estudo: proteção de senhas da Oracle é fraca
Segunda-feira, 31 outubro de 2005 - 10:05
COMPUTERWORLD
Os bancos de dados da Oracle apresentam falhas de seguranças capazes de
permitir que hackers acessem senhas utilizando até mesmo poucos recursos.
Essa foi a conclusão dos especialistas Joshua Wright, do SANS Institute, e
de Carlos Cid, do grupo de segurança da informação da Universidade de
Londres, em uma pesquisa que teve a intenção de ilustrar como é possível
ganhar acesso a senhas em pouco mais de quatro minutos utilizando técnicas
de invasão.
As senhas geralmente são protegidas por um mecanismo que as convertem em
números, em um procedimento chamado "hashing" (fragmentação, em inglês). O
produto do processo é comparado a uma lista de valores, segundo o estudo.
Outro valor aleatório, chamado "salt", também é adicionado ao número.
A pesquisa apontou que os bancos de dados da Oracle apresentaram
deficiências nas duas instâncias de proteção, a salt e a hashing. Para
captar as fragmentações de senhas, um hacker malicioso poderia capturar o
tráfego de rede não criptografado ou explorar vulnerabilidades em aplicações
web que inadvertidamente poderiam permitir a execução de comandos SQL
malicosos.
Com acesso local ao sistema operacional do banco de dados, o hacker poderia
também utilizar parâmetros Unix para localizar a fragmentação de senhas e
nomes de usuários.
Para proteger as fragmentações, o estudo recomendou o reforço da senha de 12
algarismos que expira após 60 dias de sua criação. Os especialistas também
orientaram a criptografia do tráfego da rede e a restrição do acesso aos
aplicativos web.
De acordo com os dois pesquisadores, a Oracle foi alertada sobre o problema
em julho deste ano, mas não respondeu aos comentários. Procurada pela
reportagem da agência IDG News Service, representantes da companhia não
foram encontrados para comentar o assunto.
Jeremy Kirk - IDG News Service, Reino Unido
------------------------------------------------
Rodrigo Tognin
Estudante e estagiário
Técnico em informática
ESALQ/USP - IPEF
--
<<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>>
<*> Para ver as mensagens antigas, acesse:
http://br.groups.yahoo.com/group/delphi-br/messages
<*> Para falar com o moderador, envie um e-mail para:
[EMAIL PROTECTED]
Links do Yahoo! Grupos
<*> Para visitar o site do seu grupo na web, acesse:
http://br.groups.yahoo.com/group/delphi-br/
<*> Para sair deste grupo, envie um e-mail para:
[EMAIL PROTECTED]
<*> O uso que você faz do Yahoo! Grupos está sujeito aos:
http://br.yahoo.com/info/utos.html
