terça-feira, 2 de fevereiro de 2010

Falha em VPN alerta mercado


Ceila Santos     04/12/2009
O US-CERT (U.S. Computer Emergency Readiness Team), braço do Departamento de Segurança Interna do governo norte-americano, identificou falha no mecanismo de proteção SSL-VPN de cinco fabricantes. São eles: Cisco, Juniper Networks, SonicWall, StoneSoft e SafeNet.
Segundo informações da Reuters, a falha se aplica a equipamento dotado de uma tecnologia conhecida como SSL-VPN, que as empresas usam a fim de estabelecer sistemas seguros de comunicação e obter acesso protegido a sistemas internos de computadores via Internet. A falha afeta os sistemas VSN acionados diretamente por meio de um navegador de Web, e não por software instalado no computador pessoal de um usuário, o que constitui método usado mais amplamente.
Os hackers que exploraram essa vulnerabilidade podem ganhar amplo acesso a redes empresariais e roubar dados confidenciais, instalar software prejudicial ou transformar computadores em servidores de spam.
A Juniper está ciente da vulnerabilidade há anos. Barry Greene, diretor da equipe de segurança da Juniper, entrevistado pela agência, comentou que instrui os clientes a operarem os sistemas usando métodos de redução de vulnerabilidade a ponto de não precisarem se preocupar com o risco.
A vulnerabilidade, no entanto, ainda não tem correção, segundo o US_CERT. Ricardo Giorgi, professor do MBA de Gestão de Segurança da Informação da FIAP, considera a falha muito grave porque há risco de roubo de informações estratégicas. “Hoje a VPN é uma tecnologia madura e utilizada pela maioria das empresas que demandam comunicação remota com outras filiais ou profissionais móveis”, explica. Ele ainda alerta que a vulnerabilidade atinge os principais fornecedores, o que aumenta ainda mais o potencial de vítimas.
“Não tenho conhecimento sobre as medidas de contorno dos fabricantes, mas como ainda não há correção, se eu fosse um CSO desabilitaria a interface vai web, já que o problema está no acesso ao browser”, observa. Ele ainda orienta que, além do comunicado interno aos usuários da VPN para não acessá-la via browser, proibiria o uso desse tipo de acesso.

0 comentários: