Segurança de Aplicações Web
Archive for October, 2010
Entrar num PC com Windows!
Oct 28th
Aqui ficam listados três métodos possíveis sobre como entrar num PC a correr Windows e algumas formas de o evitar. Pode dar sempre jeito, quer se esteja do lado negro da força ou não.
Malware no Facebook
Oct 27th
Voltaram em força os ataques ao Facebook. Desta vez para distribuir malware para os incautos utilizadores do Facebook. Cuidado.
Se encontrarem uma coisa semelhante a estas no perfil dos vossos amigos, não carreguem em nenhum dos links.
Entretanto e depois de mais alguma pesquisa foi possível perceber um pouco melhor este ataque (que aliás já subsiste há muito tempo) e sobre a forma de o conseguir eliminar.
A cadeia de valor e os modelos de negócio dos hackers
Oct 19th
Andava eu pelas minhas deambulações nocturnas pelo ciber-espaço, quando descobri na Security Week um conjunto de quatro artigos muito interessantes sobre o mundo dos hackers (como eu detesto esta palavra e a conotação tão negativa que da mesma advém).
Neste conjunto de quatro artigos a autora tenta explicar um pouco melhor quais algumas das motivações económicas e pessoais para toda uma “indústria” de hacking (podemos chamar-lhe indústria, como nos podemos referir a ela por submundo, ou ainda mafia – ou qualquer outro termo que queiramos aqui colocar), que tem vindo a florescer ao longo dos últimos anos.
Acho que os artigos são interessantes, e pintam um pouco a big-picture deste universo. Ficam por isso aqui os quatro links para os artigos:
- Staring into the Eye of the Beast – Hackers are One Step Ahead
- The Sctructure of a Cybercrime Organization – Hackers Have Supply Chains Too!
- Protecting Data from The Automated Cyber-Mafia
- An Inside Look at Hacker Business Models
Evercookie pode ser removido…
Oct 19th
Afinal o Evercookie do Samy Kamkar já pode ser removido. Todos nós que navegamos na WWW, em especial quem percebe minimamente como a mesma funciona, nos preocupamos com a forma como os sites que visitamos recolhem a nossa informação.
A forma mais simples de recolha dessa informação, é através de um mecanismo designado por cookie, que não é mais do que um pequeno ficheiro de texto que o nosso browser guarda quando visitamos um determinado site.
E para que serve? Serve essencialmente para que o site que é visitado possa ter alguma informação do visitante e para que o mesmo o possa acompanhar, oferecendo-lhe uma melhor experiência de serviço. No entanto, se por um lado, a utilização de cookies é um dos mecanismos que permite que a Web possa ser um pouco mais user-friendly, por outro, coloca em causa a privacidade do utilizador, em especial quando é usada para fins menos próprios.
O Samy Kamkar (sim esse mesmo que consegue descobrir as vossas namoradas, mesmo as que as não têm) desenvolveu um método que permite criar cookies ainda mais poderosos que ele designou por “Evercookie”. Basicamente um “Evercookie” é (ou pretende ser) um cookie ultra-persistente nas máquinas dos utilizadores, e que não possa ser simplesmente eliminado. De acordo com a própria descrição na página do Samy:
evercookie is a javascript API available that produces extremely persistent cookies in a browser. Its goal is to identify a client even after they’ve removed standard cookies, Flash cookies (Local Shared Objects or LSOs), and others.
evercookie accomplishes this by storing the cookie data in several types of storage mechanisms that are available on the local browser. Additionally, if evercookie has found the user has removed any of the types of cookies in question, it recreates them using each mechanism available.
Ao que parece, uns investigadores na África do Sul já conseguiram descobrir como acabar com a persistência deste super-cookie. No entanto descobriram outro facto importante: é que se este cookie já era persistente nos browsers que usamos no desktop, então no Mobile Safari do iOS, é muito mais difícil a sua detecção e correspondente eliminação.
Se os problemas de privacidade no mundo da Web mais voltada para o desktop já apresentava desafios muito interessantes, imaginem o que pode fazer com todo o poder computacional portátil que por aí circula – smartphones, tablets, entre outros – e a forma como pode afectar os utilizadores dos mesmos.
É sem dúvida um manancial de oportunidades tanto duma perspectiva de negócio, como pode ser um veículo de recolha de informação, de forma não autorizada, com maior qualidade e em maior quantidade.
Atenção: phishing PSP
Oct 19th
Cuidado, anda à solta mais um email de phishing da PSP. Como sempre, as boas práticas neste caso devem ser aplicadas.
Samy Kamkar, só para finalizar…
Oct 15th
Caros, o evento hoje do Samy Kamkar foi mesmo muito bom. Foi bom por diversos motivos, mas acima de tudo por que o Samy é um excelente speaker, e porque a comunidade aderiu em força e participou no evento.
Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que o evento teve uma adesão muito boa da vossa parte. Claro que todos nós temos a ambição de continuar a garantir a realização destes eventos em Portugal, porque já foi possível perceber que os mesmo motivam a comunidade. Para que isso seja possível, e apesar de todo o trabalho ter como base o trabalho e esforço voluntário, estes eventos têm custos, e devem poder ser suportados pela própria delegação nacional
Por isso, gostaria de vos solicitar a vossa colaboração no sentido de motivarem as vossas instituições/organizações a tornarem-se patrocinadores da nossa delegação nacional, possibilitando assim que possamos continuar a organizar eventos com interesse de toda a comunidade, e a convidar speakers verdadeiramente interessantes como o de hoje. Esta seria de facto uma ajuda preciosa…
Para os interessados o vídeo do Samy está aqui (ou vai estar): https://dsi.iscte.pt/videodifusao/sessoes/dcti_20101015/
a apresentação dele, está aqui: http://samy.pl/talks/2010-talk.ppt
Algumas fotos, aqui: http://www.flickr.com/photos/iscteiul/sets/72157625170553132/
E mais algumas aqui: http://www.flickr.com/photos/carlosserrao/sets/72157625047553033/
Obrigado OWASP.
Obrigado Samy.
Obrigado ISCTE-IUL e ADETTI-IUL.
Obrigado a todos vocês.
Samy Kamkar – video-difusão
Oct 15th
Para quem não pode estar presente na palestra do Samy Kamkar hoje no ISCTE-IUL, aqui fica o link para a página onde o evento vai ser transmitido online: http://iscte.pt/videodifusao.jsp (18h30 GMT+1)
Samy Kamkar – Como chegar…?
Oct 14th
Para todos aqueles que estão registados para estarem presentes para assistir à apresentação do Samy Kamkar no ISCTE-IUL, aqui fica alguma informação útil para poderem encontrar de imediato a localização do local da apresentação (Ed. ISCTE-IUL II, Piso 1, Auditório B1.04).
A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o link para o Google Maps.
Acima podem encontrar um mapa da zona envolvente (cliquem na imagem para ficar maior), assim como informação sobre as duas principais entradas do Ed. ISCTE-IUL II (o maior e mais recente):
- uma das entradas é do lado da Av. das Forças Armadas, mas que dá entrada para o piso 2 do edifício – recordo que a apresentação decorre no piso 1, pelo que é necessário descer um piso;
- a outra entrada pode ser abordada de duas formas: a) subindo pela rua que vai de Entrecampos, passando ao lado da Biblioteca Nacional, e b) entrando pelo lado do Hospital de Santa Maria. Esta entrada, fica em frente a um parque de estacionamento (pago), onde poderão estacionar (se vierem de carro), e dá directamente para o piso 1.
E penso que são todas as instruções que necessitam.
