A Regra é Clara

Recentemente li um artigo que diz que o Windows 8 guarda senha em texto limp (ver artigo aqui). Achei interessante a forme de explorar isso como uma vulnerabilidade, principalmente quando eles dizem:

“Once a user switches from the “classic” Windows password scheme to one of the new ones, those old-style passwords are encrypted and put in Microsoft’s Vault (protected storage). However, anyone who accesses a system using admin privileges can swipe the encrypted data from the Vault.”
Origem:
http://redmondmag.com/articles/2012/10/03/rookie-security-mistake.aspx

Bem, isso fere duas leis imutáveis de segurança e a regra (nesse caso a lei) é clara:

  • Lei imutável de segurança número um: Se um usuário malicioso lhe convencer a executar um programa no seu computador, o computador não é mais seu. Ou seja, se o ataque for realizado de forma a ludibrir o usuário e o mesmo fazer a execução de algo com privilégios administrativos então o sistema já está comprometido.
  • Lei imutável de segurança número seis: O computador só é seguro se o administrador for confiável. Ou seja, se o vetor de ataque que está sendo documentado parte do pressuposto que para explorar a vulnerabilidade é preciso privilégio administrativo então essa lei também está sendo ferida.

Por este motivo UAC é seu amigo, não deixe seus usuários com privilégios administrativos.

Administradores, nunca serão!! Nunca!

Anúncios
Esse post foi publicado em segurança e marcado , , . Guardar link permanente.

Uma resposta para A Regra é Clara

  1. Henrique Pina disse:

    Realmente, como descrito no artigo, eu também espero muito que o modo de armazenamento das senhas seja alterado até a data de lançamento.

    Que o UAC é fundamental na utilização de TODOS os sistemas Windows hoje em dia, seja ele Server ou Client isso é inegável. Mas também é conhecido que falhas que permitiam o bypass do UAC já foram descobertas.

    Entre confiar no UAC ou num sistema de criptografia, acredito que a grande maioria vai concordar que a criptografia é sem dúvida a forma mais confiável.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s