Segurança de Aplicações Web
Archive for October 19, 2009
Duas importantes ferramentas…
Oct 19th
Aqui fica a referência para dois importantes recursos para quem trabalha na área de Segurança de Informação, que reúnem no mesmo espaço todo um conjunto de ferramentas importantes:
- BackTrack 4: é uma distribuição de Linux centrada em pen-testing, oferecendo as ferramentas necessárias para conduzir os mais diversos testes de penetração, sem que seja necessário a instalação ou configuração de qualquer uma das ferramentas;
- OWASP Live CD: é um projecto do OWASP, que reúne igualmente num único CD (distribuição Linux) todas as ferramentas e documentos do OWASP, assim como mais um conjunto de ferramentas de segurança open-source.
Um exemplo a seguir em Portugal???
Oct 19th
Achei curiosa esta notícia sobre a intenção do Department of Homeland Security nos EUA em contratar nos tempos mais próximos cerca de 1000 especialistas em segurança da informação e dos sistemas.
Numa altura em que tanto se fala na (in)segurança dos sistemas de informação da Administração Pública, em particular dos da Presidência da República, não seria este um exemplo a seguir (embora adaptando as necessidades à dimensão e realidade nacional) em Portugal?
Ataques de Negação de Serviço ao nível aplicacional
Oct 19th
Como é que se planeia a identificação e a mitigação de um ataque de negação de serviço de uma aplicação web nos site de web que disponibilizamos e gerimos?
É esta a questão que nos deixa Ryan Barnett, autor de “Preventing Web Attacks with Apache“, sobre como identificar condições de ataques de negação de serviço em aplicações, através da monitorização do desempenho das mesmas.
O autor levanta algumas questões sobre quais os aspectos a proteger em aplicações web, que podem ser um alvo fácil de ataques de negação de serviço. Por exemplo, serão muito mais propensas a um ataque deste género, as funcionalidades de uma aplicação web que necessitem de grande interacção com os sistemas de back-end para gerar relatórios, e que como tal consomem mais recursos quer em termos de processamento quer em termos de memória.
Assim, e segundo Ryan Barnett, torna-se importante a utilização de ferramentas (sugerindo o WebDefend 4.0) que analisam o desempenho das aplicações web, e que detectam quais são os pontos mais susceptíveis a sofrerem um ataque de DoS. Por outro lado, é possível analisar o desempenho de uma aplicação web para verificar se a mesma está a sofrer alguma degradação em termos de desempenho que possa indicar um ataque em curso. Como é óbvio, este tipo de ferramentas não são 100% à prova de falhas e podem originar falsos alarmes, decorrendo de outros aspectos que nada têm que ver com um ataque.
Quão seguro é o Mac OS X?
Oct 19th
Volta novamente o debate sobre a segurança de plataforma Mac OS X. Neste artigo, Sean Morrissey discute a maturidade da segurança da plataforma Mac OS X.
Mac security at this time is in its infancy.
Esta é apenas uma das muitas afirmações que Sean Morrissey faz ao longo desta entrevista, e coloca em causa o modelo de segurança que a Apple implementa no Mac OS X.
Este debate é muito interessante e coloca mais uma vez em causa a velha questão da “safety vs. security”. A verdade é que os utilizadores Mac, continuam a ter poucas ameaças em termos de virus e de malware, enquanto por contrapartida, existem dezenas de milhar de ameaças para a plataforma Windows.
Vale a pena ler a entrevista levada a cabo pela Help Net Security.
Transport Layer protection cheat sheet
Oct 19th
A OWASP publicou a “Transport Layer protection cheat sheet“. Neste artigo OWASP fornece um modelo simples para seguir na implementação da protecção da camada de transporte para uma aplicação.
Embora o conceito de SSL seja conhecido de muitos, na realidade, a fraca compreensão de aspectos específicos do SSL, assim como alguns requisitos da aplicação, são por vezes mal compreendidos e resultam frequentemente em implementações inseguras.
Este artigo estabelece regras claras que fornecem orientações sobre a segurança da concepção e configuração da segurança da camada de transporte para uma aplicação. Este artigo é focado no uso de SSL/TLS entre uma aplicação web e um browser web, mas que também incentivar o uso de SSL/TLS ou outras tecnologias de criptografia de rede, como VPN, no back-end e outros com base no ligações que não sejam estabelecidas por browsers web.
Vale a pena uma leitura mais séria.
