Talvez interesse para alguns da lista. Fonte: http://idgnow.uol.com.br/AdPortalv5/SegurancaInterna.aspx?GUID=AC09EF6E-CA70 -4509-9ACF-E77111686E07&ChannelID=21080105
------------------------------------------------------------- Estudo: proteção de senhas da Oracle é fraca Segunda-feira, 31 outubro de 2005 - 10:05 COMPUTERWORLD Os bancos de dados da Oracle apresentam falhas de seguranças capazes de permitir que hackers acessem senhas utilizando até mesmo poucos recursos. Essa foi a conclusão dos especialistas Joshua Wright, do SANS Institute, e de Carlos Cid, do grupo de segurança da informação da Universidade de Londres, em uma pesquisa que teve a intenção de ilustrar como é possível ganhar acesso a senhas em pouco mais de quatro minutos utilizando técnicas de invasão. As senhas geralmente são protegidas por um mecanismo que as convertem em números, em um procedimento chamado "hashing" (fragmentação, em inglês). O produto do processo é comparado a uma lista de valores, segundo o estudo. Outro valor aleatório, chamado "salt", também é adicionado ao número. A pesquisa apontou que os bancos de dados da Oracle apresentaram deficiências nas duas instâncias de proteção, a salt e a hashing. Para captar as fragmentações de senhas, um hacker malicioso poderia capturar o tráfego de rede não criptografado ou explorar vulnerabilidades em aplicações web que inadvertidamente poderiam permitir a execução de comandos SQL malicosos. Com acesso local ao sistema operacional do banco de dados, o hacker poderia também utilizar parâmetros Unix para localizar a fragmentação de senhas e nomes de usuários. Para proteger as fragmentações, o estudo recomendou o reforço da senha de 12 algarismos que expira após 60 dias de sua criação. Os especialistas também orientaram a criptografia do tráfego da rede e a restrição do acesso aos aplicativos web. De acordo com os dois pesquisadores, a Oracle foi alertada sobre o problema em julho deste ano, mas não respondeu aos comentários. Procurada pela reportagem da agência IDG News Service, representantes da companhia não foram encontrados para comentar o assunto. Jeremy Kirk - IDG News Service, Reino Unido ------------------------------------------------ Rodrigo Tognin Estudante e estagiário Técnico em informática ESALQ/USP - IPEF -- <<<<< FAVOR REMOVER ESTA PARTE AO RESPONDER ESTA MENSAGEM >>>>> <*> Para ver as mensagens antigas, acesse: http://br.groups.yahoo.com/group/delphi-br/messages <*> Para falar com o moderador, envie um e-mail para: [EMAIL PROTECTED] Links do Yahoo! Grupos <*> Para visitar o site do seu grupo na web, acesse: http://br.groups.yahoo.com/group/delphi-br/ <*> Para sair deste grupo, envie um e-mail para: [EMAIL PROTECTED] <*> O uso que você faz do Yahoo! Grupos está sujeito aos: http://br.yahoo.com/info/utos.html