Diferenças entre Covert Redirect e Heartbleed

A falha de segurança conhecida como Covert Redirect ganhou grande atenção por parte dos especialistas de TI e chegou até a ser comparada com a devastadora vulnerabilidade Heartbleed – que afetou milhões de servidores no último mês. Apesar de ambos causarem sérias brechas de segurança, desconsidero a possibilidade do Covert Redirect ser tão grave quanto o Heartbleed.

Isso porque o Cover Redirect é uma falha de segurança – e não vulnerabilidade – na implementação do OAuth, que é um protocolo aberto de autorização segura, oferecido pelos prestadores de serviços. Ela se aproveita de terceiros que estão suscetíveis a um redirecionamento online aberto, no qual os cibercriminosos enviam uma aplicação vulnerável aos internautas e interagem com eles para adquirir permissões e informações estratégicas. 

Já o Heartbleed é uma grave brecha no código do OpenSSL, que é usado por aproximadamente 2 em cada 3 servidores para proteger as comunicações em sites que têm trafego de informações sigilosas. É este sistema que protege os dados como nome de usuários, senhas, números de cartão de crédito e contas bancárias. Um falha nesta biblioteca criptográfica pode permitir aos criminosos virtuais o acesso irrestrito à memória do sistema e a todas as informações pertinentes de empresas e pessoas lá armazenadas.

Diante deste panorama, ambas são oportunidades sérias que favorecem a perda e roubo de dados. Segundo o Relatório da Symantec sobre Ameaças à Segurança da Informação, em 2013, mais de 550 milhões de identidades foram expostas por meio de brechas na segurança online de companhias. Este número representa um aumento de 62% em relação ao ano anterior. 

No Covert Ridirect, o OAuth comprometido faz com que sites que exigem login e senha tenham o comando de memorizar a informação do usuário, redirecionar estes dados e permitir a utilização deles por terceiros. Isso acontece tanto no acesso a este locais virtuais a partir de aplicações móveis em tablets e smartphones quanto no desktop e notebooks. O resultado pode ser notado, infelizmente, quando a vítima começa a perceber movimentações estranhas em seus e-mails e perfis sociais, por exemplo.  

Neste caso, para o ataque ser bem sucedido, o internauta precisa conceder a permissão para enviar os dados – mesmo que sem saber – para um local virtual utilizado pelo cybercriminoso. Entre os dados que podem ser violados a partir do Covert Redirect estão o nome completo, a data de nascimento, a lista de contatos, os endereços de e-mail e os perfis sociais. Por isso, é importante se atentar para as seguintes dicas de segurança digital para não ser vítima de falhas ou vulnerabilidades na Internet
  1. Verifique a procedência dos aplicativos e sites antes de enviar informações pessoais; 
  2. Tenha o hábito de trocar as senhas de e-mails e perfis sociais periodicamente;
  3. Mantenha seus dispositivos conectados à Web, incluindo smartphones e tablets, protegidos com soluções de segurança originais e atualizadas;  
  4. Não acesse sites duvidosos. Opte por portais oficiais e com boa reputação;
  5. Acompanhe a sua conta bancária e fatura do cartão de crédito. Desconfie de qualquer transação incomum ao seu perfil;
  6. Para os desenvolvedores: bloqueie os redirecionamentos em seu site, para não infectar os usuários. 
André Carraretto é especialista em segurança da informação da Symantec para o Brasil. Como parte de sua função, o executivo ajuda a educar os consumidores sobre as questões de segurança online mais recentes.


Matéria completa: http://canaltech.com.br/noticia/seguranca/Diferencas-entre-Covert-Redirect-e-Heartbleed/#ixzz325HvPMET  O conteúdo do Canaltech é protegido sob a licença Creative Commons (CC BY-NC-ND). Você pode reproduzi-lo, desde que insira créditos COM O LINK para o conteúdo original e não faça uso comercial de nossa produção.
Share:

0 comentários:

Aviso importante!

Não realizamos upload dos ficheiros, apenas reportamos os links que encontramos na própria Internet. Assim, toda e qualquer responsabilidade não caberá ao administrador deste blog. Este blog não tem como objetivo reproduzir as obras, apenas divulgar o que foi encontrado na Internet. Os filmes aqui informados são de cunho científico assim como as séries, as quais são produzidas para exibição em TV aberta. Uma vez que a série não tenha sido ripada de um DVD, ou seja, a mesma foi gravada do sinal de TV aberta com o respectivo selo da emissora. Não é caracterizado crime, pois a mesma foi produzida para exibição pública. Será crime quando for realizado venda desta série ou filme. Quem efetuar download de qualquer ficheiro deste blog, que não tenha seu conteúdo de base Open Source (Código Aberto), ou FOSS (Free Open Source Software), deverá estar ciente que terá 24 horas para eliminar os ficheiros que baixou. Após assistir e gostar do filme ou série, adquira o original via lojas especializadas. Se algo contido no blog lhe causa dano ou prejuízo, entre em contato que iremos retirar o ficheiro ou post o mais rápido possível. Se encontrou algum post que considere de sua autoria, favor enviar e-mail para suporte@delphini.com.br informando o post e comprovando sua veracidade. Muito obrigado a todos que fizeram deste blog um sucesso.

Creative CommonsEsta obra está licenciada sob uma Licença Creative Commons. Você pode copiar, distribuir, exibir, executar, desde que seja dado crédito ao autor original (Citando nome do autor, data, local e link de onde tirou o texto). Você não pode fazer uso comercial desta obra.Você não pode criar obras derivadas.

Google+ Followers

Nossos 10 Posts Mais Populares