On Mon, 15 Dec 2003 14:03:09 -0200 "Edney Souza" <[EMAIL PROTECTED]> wrote: > > Luis Alberto <[EMAIL PROTECTED]> wrote: > > > > Circular do Registro.br: > > > > > > Nas últimas horas, circularam pela Internet mensagens de solicitação > > > de verificação de dados devido a uma suposta atualização nos sistemas > > > do Registro.br. > > > > > > Estas mensagens são falsas e contem um endereço hospedado em um > > > provedor gratuito o qual copia quase que fielmente a página de > > > autenticação do sistema do Registro.br. > > > > > > As distinções características deste site são o endereço diferente de > > > > > > registro.br, a inexistência do "cadeado" indicando site seguro e a > > > presença de uma propaganda no topo desta página. > > > > > > ... Fique sempre atento a estas duas características e em caso de > > > dúvidas entre em contato [1] com o registro.br antes de fornecer > > > quaisquer dados ou senha. > > > > > > http://registro.br/anuncios/20031209.html > > > > * O mais novo buraco enorme no queijo suiço em termos de segurança > > * que é o Microsoft Internet Exploder permite exatamente que um sítio > > * aleatório forje a barra de url, o que invalida em boa parte a > > * sugestão de um processo mais seguro nessa circular do Registro.br > > > > Mais sobre a falha e um exemplo de sua exploração: > > > > http://www.quilombodigital.org:8080/space/2003-12-11 > > > > 1) A falha recém descoberta no IE também afeta o Mozilla parcialmente: > http://www.mozillazine.org/talkback.html?article=4078 > > 2) Ninguém está livre de ataques de engenharia social, a única forma de > prevení-los é informando e orientando os usuários, mudar de ferramenta > infelizmente não resolve esse tipo de problema. > > []´s > > Edney Souza > http://www.interney.net/ >
1. A "falha" que afeta o Mozilla é *apenas* na barra de estado, e isso é apenas uma característica comum à maioria dos navegadores, que permitem alterar arbitrariamente aquele texto: http://www.quilombodigital.org/microsoft Qualquer pessoa com um pouco de vivência pela Internet sabe que o texto da barra de estado é facilmente burlado. A falha gravíssima do Microsoft Internet Explorer é permitir o acesso à *barra de endereço*, coisa que *nenhum* outro navegador permite. E o que é pior: a exploração dessa falha é assustadoramente simples, como provado no link acima. Além disso, a circular aponta exatamente para que o usuário do Registro.br verifique o endereço. E a forma que um usuário mais vivido o fará é exatamente pela barra de endereços. E *apenas* se for usuário do navegador em questão isso não adiantará absolutamente nada conforme demonstrado. 2. Sim, ataques de engenharia social são imprevisíveis e por inúmeros caminhos. Porém, no caso em questão, se o atacante tivesse explorado essa falha e, quanto à questão de ser um sítio seguro, feito a cópia num servidor com ssl (o que daria o "cadeadinho") e num serviço pago de hospedagem, simplesmente estaria invalidada *TODA* a recomendação do Registro.br quanto ao que observar antes de colocar seus dados. E isso afetaria *APENAS* os usuários desse navegador. Isso é simplesmente inadimissível. Estou no aguardo de um pronunciamento oficial do Registro.br tal a gravidade da situação. Não uso e não recomendo produtos proprietários, incluindo os da Microsoft em questão, não apenas por razões ideológicas ou de mercado, mas especialmente no quesito segurança. Trabalho com Desenvolvimento para Internet e tenho vários clientes que usam o sistema do Registro.br e sei que a maioria deles usa o navegador em questão. Simplesmente se o atacante fizesse isso que exponho, eles estariam em sérios apuros. E no caso de prejuízos sem dúvida grande parcela da culpa caberia ao Registro.br por não ter feito o alerta de forma correta e completa. Pelas razões expostas reitero minhas sugestões ao Registro.br > > - Retificar a circular avisando que para usuários do IE não adianta > > apenas verificar a URL. > > - Sugerir o uso de um navegador seguro. A melhor opção é o Mozilla, > > que roda inclusive sobre os sistemas da Microsoft: > > http://www.mozilla.org.br/ > > - Talvez dar alguns meses de prazo e restringir o uso do Internet > > Explorer no sítio do registro.br visto que falhas como essa > > simplesmente não podem ser admitidas, já que comprometem demais > > a segurança do sistema Registro.br, que sempre primou pela > > qualidade do serviço e possui uma longa história de estabilidade > > e competência na execução das suas tarefas. Não é possível deixar > > que um mero Navegador de uma empresa que não zela pela segurança > > de seus produtos comprometa o nome do Registro.br Essa última medida, drástica, só deverá ser adotada se o fabricante em questão não corrigir e falha não anunciar com o devido grau de exposição frente à gravidade da questão para que os atuais usuários atualizem seus sistemas. Abraços, Luis Alberto. -- Luis Alberto Garcia Cipriano - [EMAIL PROTECTED] Sítio e blogue -> http://luisalberto.sovacodecobra.com.br/ lagc no #debian-br em irc.debian.org - [EMAIL PROTECTED] Músico amador .''`. http://www.sovacodecobra.com.br/ Tradutor solidário : :' : http://www.debian-br.org/ Jornalista voluntário `. `'` http://www.cipsga.org.br/ Programador pós-moderno `- http://sp.debian-br.org/
