Segurança de Aplicações Web
Archive for January, 2010
Dia Europeu da Protecção de Dados
Jan 28th
Hoje não é só o dia em que o Mundo vai começar discutir as vantagens e desvantagens do iPad da Apple… é igualmente o Dia Europeu da Protecção de Dados (ou Dia Europeu da Privacidade dos Dados).
Numa altura em que as redes sociais enchem a Web, e em que milhões e milhões de utilizadores partilham a sua informação pessoal, as suas actividades diárias, as suas fotografias e vídeos, os seus próprios gostos e preferências pessoais, convém para um pouco e pensar: quem e o quê estará a visualizar e a utilizar toda esta informação que está a ser disponibilizada. E acima de tudo para quê?
Redes como o MySpace, o Hi5, Youtube, Twitter, Flickr, Facebook, Tumblr, e tantas outras será oferecem mecanismos de protecção e de privacidade para os seus muitos milhões de utilizadores. O Google, o maior monopolista mundial de informação, quais as preocupações de privacidade que na verdade implementa?
Qual o impacto que a impessoalidade imposta pelas TIC tem nas pessoas e no facto de que existe pouca consciência do que se passa do “outro lado do computador”.
“A privacidade é um direito humano – desfrute do mesmo com cuidado”.
Data Privacy Day is an international celebration of the dignity of the individual expressed through personal information. In this networked world, in which we are thoroughly digitized, with our identities, locations, actions, purchases, associations, movements, and histories stored as so many bits and bytes, we have to ask – who is collecting all of this – what are they doing with it – with whom are they sharing it? Most of all, individuals are asking ‘How can I protect my information from being misused?’ These are reasonable questions to ask – we should all want to know the answers.
Deixo-vos aqui alguns links com mais informação sobre o evento:
- EDPS statement and activities on the occasion of Data Protection Day (28 January 2010)
- European Data Protection Supervisor
- Data Protection Day site
- Resources Site for Data Privacy Day 2010
- Tips for protecting personal privacy online
Segurança da informação: falta de formação aumenta perigo
Jan 26th
Saiu hoje um artigo na Semana Informática, no qual a OWASP Portugal teve a oportunidade de colaborar, em conjunto com o Dinis Cruz (líder OWASP) e com o Miguel Almeida (Consultor Independente de Segurança). Não deixa de ser curioso, que nestes artigos em que nos solicitam a nossa colaboração e nos colocam inúmeras perguntas, que na verdade deram origem a cerca de 8 páginas A4 de respostas, apenas acabam por publicar uma opinião muito sucinta do mesmo. Mas o mais importante mesmo, é termos conseguido colocar lá (parte) da nossa opinião.
Basicamente a nossa posição é muito simples… o mercado de desenvolvimento de aplicações de software software, não tem em linha de conta as preocupações de segurança, o que acaba por provocar que as aplicações lançadas no mercado, não oferecem todas as garantias de segurança necessárias.
Isto acaba por ser mais problemático para as PME que não têm a capacidade quer interna, quer externamente de poderem assegurar-se das condições de segurança das aplicações e sistemas que usam no seu dia a dia, nem conseguem tomar decisões nesse sentido aquando da aquisição desses mesmos sistemas.
Por outro lado, a entrevista acaba por focar outro factor importante que tem que ver com a falta de formação disponível, que prepare programadores e engenheiros de software para o desenvolvimento de aplicações com segurança. Estes não os únicos motivos, mas são os únicos que foram considerados aquando da elaboração do artigo por parte da revista.
De qualquer é uma leitura interessante. Podem encontrar o artigo on-line aqui.
OWASP AppSec Research 2010
Jan 23rd
Vai realizar-se na Suécia, em Estocolmo, a OWASP AppSec Research 2010 entre 21 e 24 de Junho. A OWASP AppSec Research 2010 é organizada em conjunto pelos chapters OWASP da Suécia, Noruega e Dinamarca.
“AppSec Research”.equals(“AppSec Europe”)This conference was formerly known as OWASP AppSec Europe. We have added ‘Research’ to highlight that we invite both industry an academia. All the regular AppSec Europe visitors and topics are welcome along with contributions from universities and research institutes.This will be the European conference for anyone interested in or working with application security. Co-host is the Department of Computer and Systems Science at Stockholm University, offering a great venue in the fabulous Aula Magna.
O Call for Papers já está disponível a partir deste link, em três modelos distintos:
- Publish or Perish
- Demo or Die
- Present or Repent
Bem, pelo menos não se podem queixar da falta de imaginação… 
Existe ainda a possibilidade de participar num dos múltiplos concursos para ganhar alguma entradas à borla na conferência. Quem estiver interessado deve/pode aproveitar.
Newsletter OWASP Q1 2010
Jan 23rd
Aqui fica a newsletter do OWASP do Q1 de 2010. Entre outras coisas é possível observar aqui um pouco do que foi o IBWAS09.
Podem encontrar a newsletter neste link.
10 principais técnicas de hacking da Web
Jan 22nd
Jeremiah Grossman é o fundador e o CTO da WhiteHat Security, uma empresa responsável por fazer avaliações de risco em sites web e na identificação e correcção de vulnerabilidades nos mesmos. No seu blog, Jeremiah apresentou recentemente dois posts (aqui e aqui) que resumem claramente a actividade em termos de segurança de informação das passadas duas semanas.
Para além desses dois excelentes resumos, o que me despertou mais a atenção no blog do Jeremiah foi a sua listagem que descreve as 10 principais técnicas de hacking da Web – através de apresentações ou de artigos. Tomei a liberdade de reproduzir essa mesma listagem aqui, em português:
- Criação de certificado forjado de CA: uma vulnerabilidade encontrada na actual infra-estrutura de PKI que permite forjar um certificado de uma CA, e com isso gerar certificados digitais forjados para uma série de sites, com o intuito de emitar outros legítimos. Este ataque/vulnerabilidade baseia-se numa fraqueza encontrada na função de hash MD5;
- Poluição de parâmetros HTTP (HPP): este tipo de ataques ocorrem com a possibilidade de ultrapassar ou injectar parâmetros HTTPS POST/GET através da injecção de delimitadores de cadeias de caracteres. Esta vulnerabilidade pode ser usada para ataques do lado do cliente ou do servidor;
- Vulnerabilidade da API do Flickr que permite forjar assinaturas (ataque à extensão MD5): uma vulnerabilidade encontrada na API do Flickr com a chave que permite gerar as assinaturas necessárias para a autenticação das aplicações externas que usam a API do Flickr. Esta vulnerabilidade permite que um utilizador possa gerar assinaturas válidas sem conhecer a parte secreta de uma chave;
- Pesquisa intra-domínios temporizada: um ataque de timing (de temporização) é um ataque em que um atacante tenta comprometer um sistema analisando o tempo que demorar uma determinada operação a ser realizada;
- DoS HTTP Slowloris: o Slowloris é um ataque de DoS HTTP que se aproveita do facto de que é possível manter uma sessão HTTP aberta indefinidamente e de se poder repetir esse mesmo processo por diversas vezes;
- Vulnerabilidade 0-day no parsing de ficheiros do IIS: esta vulnerabilidade surge(ia) pelo facto do ISS executar código ignorando a interpretação de um ‘;’. Por exemplo o script “malicioso.asp;.jpg” seria executado (o ASP) uma vez que o IIS ignorava o ‘;’ e considerava o ficheiro como sendo uma imagem JPEG;
- Explotar XSS inexplorado: mais um conjunto métodos para explorar vulnerabilidades do tipo XSS;
- Os filtros XSS favoritos e como atacá-los
- Problemas de segurança na cache RFC1918: explorar os mecanismos de mapeamento de cache desse mapeamento na Internet, em especial nos endereços IP não-públicos que são passíveis de “routear”;
- Rebinding to DNS: este tipo está divido em três partes distintas, cookies persistentes, scraping e spamming e fixação de sessões.
E ainda mais sobre as passwords…
Jan 21st
Simple Passwords Remain Popular, Despite Risk of Hacking – NYTimes.com
Ainda sobre a questão das passwords, aqui fica mais um artigo sobre a insegurança das passwords e o tipo de passwords que os utilizadores optam por escolher. Continua a ser muito complicado levar os utilizadores a usarem de boas práticas aquando da escolha da sua password, apesar de existirem ferramentas de software que geram passwords seguras, e de outros verificam a robustez das passwords que estão a ser introduzidas pelo utilizador.
Continua a existir um importante trade-off entre a segurança de uma password e a capacidade que o utilizador tem para a decorar. Definir e empregar uma boa política de gestão de passwords é meio caminho andado para a segurança das aplicações e de sistemas.
Diga-se em abono da verdade que a aplicação ou sistema que deixe que os seus utilizadores utilizem passwords com um só carácter (‘0′), ou em que todos os caracteres são iguais (‘111111′) está mesmo “a pedir” para ser posta à prova.
É incompreensível de facto.
Just in case, aqui ficam alguns conselhos para a escolha de passwords mais seguras (apenas um exemplo), e para evitar que este tipo de passwords vulneráveis a ataques de dicionário ou de força bruta (com baixa complexidade) possam ocorrer.
Ferramenta de Segurança para o Facebook
Jan 21st
A Websense desenvolveu um sistema designado por Defensio 2.0 que vai permitir analisar em tempo real as ameaças de aplicações web como o Facebook. A Defensio 2.0 analisa e classifica o conteúdo gerado pelo utilizador em tempo real à medida que a mesma vai sendo colocada em blogs e em páginas do Facebook, protegendo os visitantes de serem expostos a conteúdo malicioso e spam.
Esta é uma aplicação na linha das que iremos ver surgindo no mercado de produtos anti-virus/anti-spam e de outro tipo de segurança contra ameaças da Internet, à medida que estas aplicações web vão ganhando utilizadores e popularidade na Internet.
Como escolhe as passwords que usa?
Jan 21st
Escolher uma boa password é meio caminho andado para ter um sistema mais seguro. Num relatório realizado pela Imperva, que realizou um estudo a 32 milhões de passwords que haviam sido expostas no site RockYou.com.
É interessante notar neste estudo, a forma descuidada como os utilizadores escolhem as suas passwords, sendo a maior parte delas um alvo demasiado fácil para atacantes. Aqui fica uma lista das passwords mais escolhidas:
- 123456
- 12345
- 123456789
- Password
- iloveyou
- princess
- rockyou
- 1234567
- 12345678
- abc123
Enfim… o curioso é que número de utilizadores que escolheu a password “123456″ é impressionante – quase 300000 utilizadores tinham esta password!!!
Assim, não há segurança que resista!!!
Clickjacking em grandes aplicações Web
Jan 20th
De acordo com este especialista em Segurança da Informação israelita, Narkolayev Shlomi, o mesmo encontrou em algumas das principais aplicações Web que são usadas por milhões de utilizadores, vulnerabilidades do tipo Clickjacking.
O Clickjacking é uma técnica maliciosa que permite os utilizadores de aplicações Web a revelarem informação confidencial ou que permitem controlar o seu computador, quando os mesmos carregam em páginas web aparentemente inofensivas. Esta é uma vulnerabilidade que pode ser encontrada em multiplas plataformas e browsers, e assume a forma de código embebido ou scripts que podem ser executados sem a permissão e conhecimento dos utilizadores quando o utilizador carrega num botão da página que aparenta desempenhar outra função.
De acordo com este especialista israelita, o mesmo pode escrever uma aplicação maliciosa, que pode explorar este tipo de vulnerabilidade em grandes aplicações Web, como por exemplo o Facebook.
Aqui fica um vídeo que demonstra esta vulnerabilidade.
