Segurança de Aplicações Web
Archive for October, 2009
Nikto – scanner para servidores web
Oct 24th
Em grande medida, o trabalho de um profissional de segurança de informação, passa por identificar os principais riscos e os pontos fracos de um determinado sistema. Para isso, são utilizadas múltiplas ferramentas que podem efectivamente contribuir para a realização desta tarefa.
Uma destas ferramentas é o Nikto. O Nikto é um software Open Source (GPL), escrito em Perl, que serve para efectuar análises a servidores web, realizando testes abrangentes a vários itens, incluindo mais de 3.500 arquivos potencialmente perigosos / CGIs, versões em mais de 900 servidores, e a versões de problemas específicos em mais de 250 servidores.
Atenção: Phishing usa Polícia de Segurança Pública
Oct 21st
Foi hoje denunciada a existência de um email a circular nas caixas de correio nacionais, que usa o nome da Polícia de Segurança Pública (PSP) para efectuar uma convocatória judicial.
O email é falso!!! Trata-se de uma mensagem falsa e que visa realizar ataques de phishing contra os utilizadores mais incautos. A própria PSP já vei desmentir que use o email para realizar quaisquer tipo de diligências semelhantes às que se refere o email.
Como sempre recomenda-se a aplicação de um conjunto de práticas comuns:
- eliminar o email
- evitar abrir o email ou carregar nalgum dos seus links
- ter as ferramentas anti-virus e anti-spam devidamente actualizadas
- em caso de dúvida, não arrisque, nunca!
Aqui se reproduz o email em causa:
From:
Date: 2009/9/21
Subject: Convocatória Judicial
PROCEDIMENTO INVESTIGATÓRIO N.º 363.234/2009
Duas importantes ferramentas…
Oct 19th
Aqui fica a referência para dois importantes recursos para quem trabalha na área de Segurança de Informação, que reúnem no mesmo espaço todo um conjunto de ferramentas importantes:
- BackTrack 4: é uma distribuição de Linux centrada em pen-testing, oferecendo as ferramentas necessárias para conduzir os mais diversos testes de penetração, sem que seja necessário a instalação ou configuração de qualquer uma das ferramentas;
- OWASP Live CD: é um projecto do OWASP, que reúne igualmente num único CD (distribuição Linux) todas as ferramentas e documentos do OWASP, assim como mais um conjunto de ferramentas de segurança open-source.
Um exemplo a seguir em Portugal???
Oct 19th
Achei curiosa esta notícia sobre a intenção do Department of Homeland Security nos EUA em contratar nos tempos mais próximos cerca de 1000 especialistas em segurança da informação e dos sistemas.
Numa altura em que tanto se fala na (in)segurança dos sistemas de informação da Administração Pública, em particular dos da Presidência da República, não seria este um exemplo a seguir (embora adaptando as necessidades à dimensão e realidade nacional) em Portugal?
Ataques de Negação de Serviço ao nível aplicacional
Oct 19th
Como é que se planeia a identificação e a mitigação de um ataque de negação de serviço de uma aplicação web nos site de web que disponibilizamos e gerimos?
É esta a questão que nos deixa Ryan Barnett, autor de “Preventing Web Attacks with Apache“, sobre como identificar condições de ataques de negação de serviço em aplicações, através da monitorização do desempenho das mesmas.
O autor levanta algumas questões sobre quais os aspectos a proteger em aplicações web, que podem ser um alvo fácil de ataques de negação de serviço. Por exemplo, serão muito mais propensas a um ataque deste género, as funcionalidades de uma aplicação web que necessitem de grande interacção com os sistemas de back-end para gerar relatórios, e que como tal consomem mais recursos quer em termos de processamento quer em termos de memória.
Assim, e segundo Ryan Barnett, torna-se importante a utilização de ferramentas (sugerindo o WebDefend 4.0) que analisam o desempenho das aplicações web, e que detectam quais são os pontos mais susceptíveis a sofrerem um ataque de DoS. Por outro lado, é possível analisar o desempenho de uma aplicação web para verificar se a mesma está a sofrer alguma degradação em termos de desempenho que possa indicar um ataque em curso. Como é óbvio, este tipo de ferramentas não são 100% à prova de falhas e podem originar falsos alarmes, decorrendo de outros aspectos que nada têm que ver com um ataque.
Quão seguro é o Mac OS X?
Oct 19th
Volta novamente o debate sobre a segurança de plataforma Mac OS X. Neste artigo, Sean Morrissey discute a maturidade da segurança da plataforma Mac OS X.
Mac security at this time is in its infancy.
Esta é apenas uma das muitas afirmações que Sean Morrissey faz ao longo desta entrevista, e coloca em causa o modelo de segurança que a Apple implementa no Mac OS X.
Este debate é muito interessante e coloca mais uma vez em causa a velha questão da “safety vs. security”. A verdade é que os utilizadores Mac, continuam a ter poucas ameaças em termos de virus e de malware, enquanto por contrapartida, existem dezenas de milhar de ameaças para a plataforma Windows.
Vale a pena ler a entrevista levada a cabo pela Help Net Security.
Transport Layer protection cheat sheet
Oct 19th
A OWASP publicou a “Transport Layer protection cheat sheet“. Neste artigo OWASP fornece um modelo simples para seguir na implementação da protecção da camada de transporte para uma aplicação.
Embora o conceito de SSL seja conhecido de muitos, na realidade, a fraca compreensão de aspectos específicos do SSL, assim como alguns requisitos da aplicação, são por vezes mal compreendidos e resultam frequentemente em implementações inseguras.
Este artigo estabelece regras claras que fornecem orientações sobre a segurança da concepção e configuração da segurança da camada de transporte para uma aplicação. Este artigo é focado no uso de SSL/TLS entre uma aplicação web e um browser web, mas que também incentivar o uso de SSL/TLS ou outras tecnologias de criptografia de rede, como VPN, no back-end e outros com base no ligações que não sejam estabelecidas por browsers web.
Vale a pena uma leitura mais séria.
Anti-XSS Library 3.1
Oct 14th
A Microsoft Information Security lançou uma nova versão da sua ferramenta Anti-XSS, a Anti-XSS Library 3.1. Neste site é possível encontrar não apenas o anúncio do lançamento da ferramenta, mas igualmente uma apresentação em que é demonstrada a utilização da mesma.
Ao longo desta apresentação são focados os seguintes aspectos:
- O que é um ataque de XSS – Cross-Site Scripting
- Como detectar vulnerabilidades de XSS;
- Introdução à Anti-XSS Library
- O que há de nova nesta nova versão da Anti-XSS Library
- Demonstração da Anti-XSS Library 3.1
- Apresentação do Security Runtime Engine (SRE)
- Demonstração do SRE.
Evitar o malware do Windows usando um Live CD Linux
Oct 14th
Recentemente foi publicado um artigo no Washington Post que relatava os riscos que as pequenas e médias empresas corriam no acesso às suas contas bancárias online, em especial se usassem computadores baseados no sistema operativo Windows.
Segundo o autor do artigo, depois de ter analisado algumas situações, a utilização de computadores com Windows é um risco demasiado grande para as organizações por causa da proliferação de malware para estas plataformas, que procuram interceptar os dados de acesso às contas bancárias, e com isso tirar partido dos dados de acesso para realizar desvios de fundos.
Assim, o autor do artigo recomenda, entre outras coisas que o acesso às contas bancárias seja realizado a partir de um único computador (especificamente destinado para esse efeito), e que o mesmo seja ligado usando um Live CD com uma distribuição de Linux, para acesso às contas bancárias online da empresa. Quase todas as distribuições de Linux, oferecem o acesso a um Live CD, basta escolher a preferida.
Este é um problema grave, pois existe malware que permite efectuar um bypass dos diversos controlos de acesso e de autenticação dos serviços de banca online. Este é um problema sério e preocupante.
A utilização de um Live CD de Linux, permitirá que se tenha sempre um computador “limpo”, com toda a segurança oferecida por um sistema Linux, de cada vez que o mesmo arranca. Como não é possível escrever no CD, todos os dados, depois de terminada a sessão e desligado o computador, perdem-se. Logo, da próxima vez que se ligar é um computador “limpo” de novo.
Vale a pena ler, não só o artigo, assim como toda thread de comentários, que por si só é um manancial de informação “viva” muito interessante.
Guião para o Desenvolvimento Seguro em PHP
Oct 14th
Numa altura em que a maior parte das aplicações de Desktop começam a ser rapidamente substituídas por equivalentes na Web, torna-se crucial garantir a segurança dessas mesmas aplicações. Em grande parte, a segurança dessas mesmas aplicações não reside somente em aspectos relacionados com o rede de comunicações e de infra-estrutura, mas igualmente no próprio código-fonte que originou a aplicação.
Uma das linguagens de programação mais utilizada para desenvolvimento de aplicações dinâmicas para a Web é o PHP. O PHP, pelo facto de ser uma linguagem de programação aberta, não estando dependente de nenhum sistema nem de nenhum fornecedor específico, tornou-se numa escolha preferencial para este tipo de desenvolvimento.
Qualquer um, com um mínimo de esforço, consegue desenvolver uma aplicação web em PHP. A questão que se coloca é: será essa aplicação segura?
Para minimizar os riscos de segurança no desenvolvimento de aplicações Web com PHP, o PHP Security Consortium, tem um documento em que oferece uma visão clara sobre quais as melhores práticas para o desenvolvimento seguro com o PHP: PHP Security Guide 1.0.
Para quem desenvolve aplicações em PHP, é de leitura obrigatória.
