Segurança de Aplicações Web
Archive for April, 2009
Segurança do Mac OS X – Separar o Trigo do Joio
Apr 28th
Agora que a plataforma Mac da Apple começa a crescer em número de adeptos, e cada vez mais são os casos de utilizadores que optam por migrar de plataformas Windows para plataformas Mac, principalmente motivados pela menor exposição a problemas de segurança, convém lembrar o seguinte:
- Não existem sistemas operativos e plataformas que resistam a atacantes suficientemente determinados, que exploram vulnerabilidades, não apenas do próprio sistema operativo, como de outras aplicações que correm sobre esse mesmo sistema operativo;
- Não existem sistemas operativos ou plataformas que resistam a más práticas de segurança (ou omissão das mesmas) por parte dos seus utilizadores – quaisquer que estas sejam (Windows, Mac, ou Linux).
Feito isto, e visto que recentemente, a comunicação social tem apontado os seus holofotes para problemas de segurança com a plataforma Mac (e como disse tenho a certeza que os haverá), nada como ler este artigo, em se fala de um conjunto de dicas que devem ser usadas aquando da leitura destas notícias de segurança relacionadas com a plataforma Mac. Garanto que vos irá ajudar a separar o trigo do joio.
Garanto que vale a pena ler.
Conficker … ele anda aí!
Apr 17th
Já criou a maior rede de Zombies do mundo.
Se pretende testar o seu computador e procurar por uma potencial infecção faça o teste aqui.
Segurança nos serviços de redução do tamanho dos URL
Apr 9th
Este artigo, discute alguns dos problemas de segurança relacionados com os serviços de redução do tamanho de URL (URL shortning services).
Um dos principais problemas destes serviços, que agora surgem em número bastante considerável devido ao sucesso do Twitter, prende-se com o facto do utilizador perder um pouco o controlo sobre alguma informação que a URL pode conter sobre a localização para onde o utilizador será redireccionado.
Muito interessante. Vale a pena a leitura.
Em FRANÇA- acesso interdito à Net aos violadores de direitos autor
Apr 7th
Foi aprovada a alteração do projeto lei que prevê a suspensão da ligação à Internet aos utilizadores que, após terem sido avisados por duas vezes, continuem a partilhar, em redes peer-to-peer, ficheiros protegidos por direitos de autor. Nesta alteração da lei quem tiver a ligação cortada não irá pagar nada aos ISP (obviamente que os ISP não gostam da medida).
A existência de uma autoridade administrativa,responsável por fiscalizar a aplicação da lei, dará força a esta lei pois pode ordenar as advertências aos prevaricadores e aplicar as coimas previstas, nomeadamente a interrupção do serviço de acesso à Internet.
Polícia Judiciária andou à pesca em Lisboa
Apr 3rd
Um dos ataque mais comuns dos nossos dias dá pelo nome de phishing. O phishing é um ataque que leva o utilizador a revelar as suas credenciais de autenticação quando confrontado com informação que lhe parece ser fidedigna e legítima. É muitas das vezes aplicado para levar os utilizadores dos sites de homebanking a revelarem o seu username e password.
Segundo o TEK.Sapo, a Policia Judiciária “pescou” em Lisboa dois phishers que se aproveitaram desta técnica para usurpar algum dinheiro a alguns utilizadores mais incautos.
Nunca é demais lembrar que apesar destes ataques estarem a ficar cada vez mais evoluídos, nunca deve revelar as suas credenciais de autenticação, sempre que tenha a mínima dúvida em relação à legitimidade e honestidade do meio que as solicita. Acima de tudo, desconfie sempre se este tipo de solicitações forem provenientes por email.
Material da primeira reunião OWASP em Castelo Branco
Apr 3rd
Tive o cuidado de fazer upload do material da primeira reunião da OWASP em Portugal para o Slideshare e podem consultar os mesmos aqui:
Welcome to OWASP
View more presentations from pontocom.
Introdução ao OWASP
View more presentations from pontocom.
Apresentação do OWASP Portugal
View more presentations from pontocom.
OWASP Top Ten 2004
View more presentations from pontocom.
Ferranentas OWASP
View more presentations from pontocom.
OWASP Portugal Kick-off Meeting
Apr 2nd
Estou desde já de volta de Castelo Branco, da Escola Superior de Tecnologia, onde fui fazer o evento de kick-off do Charter Português do OWASP.
Desde já fica o meu agradecimento ao Joaquim Marques (EST/IPCB) pelo seu amável convite e pela recepção. Igualmente o meu agradecimento ao Prof. Mário Freire pelo apoio técnico do IEEE a este evento do OWASP. Fica desde já pré-agendada uma apresentação na Universidade da Covilhã, neste esforço de evangelização que está a ser encetado pelo OWASP Portugal.
Neste momento, faz parte dos planos da OWASP Portugal conseguir passar a mensagem do OWASP e criar uma massa crítica suficiente para dinamizar uma comunidade portuguesa, envolvendo a mesma em projectos. Para isso a OWASP Portugal está disposta a efectuar apresentações e ou a participar aulas em instituições de ensino superior ou outras organizações que demonstrem o seu interesse.
A apresentação correu bastante bem, apesar da fraca adesão – ou então a sala era grande demais. De qualquer forma ficaram algumas lições desta primeira reunião, que decorreu no formato apresentação. Existem coisas a melhorar e outras a manter – mas vamos aprendendo com o tempo.
Como em tudo o que o OWASP faz, as apresentações são públicas, pelo que podem aceder às apresentações desta tarde, recorrendo aos seguintes links:
- Recepção e boas-vindas
- Apresentação do OWASP e Projectos
- Apresentação do OWASP Portugal, Objectivos e Projectos
- OWASP Top Ten
- OWASP Tools
Vamos tentar manter alguma regularidade nestas reuniões, e fica desde já a promessa de fazer igualmente reuniões do OWASP em Lisboa. Vamos tentar organizar uma reunião no ISCTE, o mais depressa possível.
Outro aspecto interessante do nosso trabalho passa pelo estreitamento das relações entre a comunidade OWASP Espanhola e a Portuguesa, no sentido de criar sinergias ibéricas. Um primeiro resultado deste esforço conjunto, será o lançamento de uma conferência ibérica anual no âmbito da segurança das aplicações web (Iberic Web Application Security Conference – IWAS) que se irá realizar em alternância em Espanha e em Portugal. Mas mais novidades sobre este evento serão fornecidos no futuro.
Esperamos no futuro poder contar com a vossa presença e com a vossa colaboração.
Problemas de Segurança no Google Docs
Apr 1st
Apesar de ser uma excelente ferramenta de produtividade e de partilha de documentos, e de ser suportado pelo gigante de software e de aplicação web, que dá pelo nome de Google, o Google Docs não está isento de falhas de software.
Recentemente um consultor de segurança descobriu um conjunto de vulnerabilidades de segurança na aplicação Google Docs, mais concretamente, três vulnerabilidades:
- Quando se introduz uma imagem num documento protegido, a mesma é carregada num servidor, a que mesmo pessoas sem acesso ao ficheiro, podem aceder à imagem, visualizá-la e descarregá-la;
- Em segundo lugar, se se partilhar um documento com um diagrama, a pessoa com quem se partilhou o documento pode ter acesso a todas as versões desse mesmo diagrama, para além da que está no documento partilhado;
- A terceira vulnerabilidade descoberta tem que ver com as permissões de acesso ao documento. Se retirar a permissão a uma pessoa para aceder aos seus documentos, este podem, em alguns casos, ter acesso posterior aos documentos sem o conhecimento do dono do mesmo.
O nível de gravidade das duas primeiras vulnerabilidades é consideravelmente baixo. No entanto, a terceira vulnarabilidade, a persistir, é uma vulnerabilidade muito séria que compromete a integridade de todo o Google Docs.
Entretanto a Google já se manifestou sobre estes problemas.
OWASP AntiSamy comprometido?
Apr 1st
A ferramenta da AntiSamy é um projecto do OWASP que serve para filtrar o input que as aplicações web recebem por parte de utilizadores. Existem aplicações web que permitem a introdução de conteúdo em HTML e CSS. A ferramenta AntiSamy permite filtrar esse mesmo conteúdo introduzido de acordo com um conjunto de regras pré-estabelecido. Isto permite evitar ataques de XSS contra as aplicações web.
Aparentemente, alguém descobriu agora que existe uma forma de efectuar o bypass do controlo oferecido pelo AntiSamy. O método consistem em comprometer uma das bibliotecas Java, nas quais o AntiSamy se baseia, para corromper a forma como funciona. Mais detalhes podem ser encontrados aqui.
