Segurança de Aplicações Web
Carlos Serrao
This user hasn't shared any biographical information
Posts by Carlos Serrao
IBWAS’10 Registration is open (and free)
Nov 29th
Registrations to the OWASP IBWAS’10 Conference Day, to be held on the 17th are now open. Registration is mandatory but free.
Entrar num PC com Windows!
Oct 28th
Aqui ficam listados três métodos possíveis sobre como entrar num PC a correr Windows e algumas formas de o evitar. Pode dar sempre jeito, quer se esteja do lado negro da força ou não.
Malware no Facebook
Oct 27th
Voltaram em força os ataques ao Facebook. Desta vez para distribuir malware para os incautos utilizadores do Facebook. Cuidado.
Se encontrarem uma coisa semelhante a estas no perfil dos vossos amigos, não carreguem em nenhum dos links.
Entretanto e depois de mais alguma pesquisa foi possível perceber um pouco melhor este ataque (que aliás já subsiste há muito tempo) e sobre a forma de o conseguir eliminar.
A cadeia de valor e os modelos de negócio dos hackers
Oct 19th
Andava eu pelas minhas deambulações nocturnas pelo ciber-espaço, quando descobri na Security Week um conjunto de quatro artigos muito interessantes sobre o mundo dos hackers (como eu detesto esta palavra e a conotação tão negativa que da mesma advém).
Neste conjunto de quatro artigos a autora tenta explicar um pouco melhor quais algumas das motivações económicas e pessoais para toda uma “indústria” de hacking (podemos chamar-lhe indústria, como nos podemos referir a ela por submundo, ou ainda mafia – ou qualquer outro termo que queiramos aqui colocar), que tem vindo a florescer ao longo dos últimos anos.
Acho que os artigos são interessantes, e pintam um pouco a big-picture deste universo. Ficam por isso aqui os quatro links para os artigos:
- Staring into the Eye of the Beast – Hackers are One Step Ahead
- The Sctructure of a Cybercrime Organization – Hackers Have Supply Chains Too!
- Protecting Data from The Automated Cyber-Mafia
- An Inside Look at Hacker Business Models
Evercookie pode ser removido…
Oct 19th
Afinal o Evercookie do Samy Kamkar já pode ser removido. Todos nós que navegamos na WWW, em especial quem percebe minimamente como a mesma funciona, nos preocupamos com a forma como os sites que visitamos recolhem a nossa informação.
A forma mais simples de recolha dessa informação, é através de um mecanismo designado por cookie, que não é mais do que um pequeno ficheiro de texto que o nosso browser guarda quando visitamos um determinado site.
E para que serve? Serve essencialmente para que o site que é visitado possa ter alguma informação do visitante e para que o mesmo o possa acompanhar, oferecendo-lhe uma melhor experiência de serviço. No entanto, se por um lado, a utilização de cookies é um dos mecanismos que permite que a Web possa ser um pouco mais user-friendly, por outro, coloca em causa a privacidade do utilizador, em especial quando é usada para fins menos próprios.
O Samy Kamkar (sim esse mesmo que consegue descobrir as vossas namoradas, mesmo as que as não têm) desenvolveu um método que permite criar cookies ainda mais poderosos que ele designou por “Evercookie”. Basicamente um “Evercookie” é (ou pretende ser) um cookie ultra-persistente nas máquinas dos utilizadores, e que não possa ser simplesmente eliminado. De acordo com a própria descrição na página do Samy:
evercookie is a javascript API available that produces extremely persistent cookies in a browser. Its goal is to identify a client even after they’ve removed standard cookies, Flash cookies (Local Shared Objects or LSOs), and others.
evercookie accomplishes this by storing the cookie data in several types of storage mechanisms that are available on the local browser. Additionally, if evercookie has found the user has removed any of the types of cookies in question, it recreates them using each mechanism available.
Ao que parece, uns investigadores na África do Sul já conseguiram descobrir como acabar com a persistência deste super-cookie. No entanto descobriram outro facto importante: é que se este cookie já era persistente nos browsers que usamos no desktop, então no Mobile Safari do iOS, é muito mais difícil a sua detecção e correspondente eliminação.
Se os problemas de privacidade no mundo da Web mais voltada para o desktop já apresentava desafios muito interessantes, imaginem o que pode fazer com todo o poder computacional portátil que por aí circula – smartphones, tablets, entre outros – e a forma como pode afectar os utilizadores dos mesmos.
É sem dúvida um manancial de oportunidades tanto duma perspectiva de negócio, como pode ser um veículo de recolha de informação, de forma não autorizada, com maior qualidade e em maior quantidade.
Atenção: phishing PSP
Oct 19th
Cuidado, anda à solta mais um email de phishing da PSP. Como sempre, as boas práticas neste caso devem ser aplicadas.
Samy Kamkar, só para finalizar…
Oct 15th
Caros, o evento hoje do Samy Kamkar foi mesmo muito bom. Foi bom por diversos motivos, mas acima de tudo por que o Samy é um excelente speaker, e porque a comunidade aderiu em força e participou no evento.
Este evento foi apenas foi possível graças à OWASP, e o sucesso foi apenas possível por que o evento teve uma adesão muito boa da vossa parte. Claro que todos nós temos a ambição de continuar a garantir a realização destes eventos em Portugal, porque já foi possível perceber que os mesmo motivam a comunidade. Para que isso seja possível, e apesar de todo o trabalho ter como base o trabalho e esforço voluntário, estes eventos têm custos, e devem poder ser suportados pela própria delegação nacional
Por isso, gostaria de vos solicitar a vossa colaboração no sentido de motivarem as vossas instituições/organizações a tornarem-se patrocinadores da nossa delegação nacional, possibilitando assim que possamos continuar a organizar eventos com interesse de toda a comunidade, e a convidar speakers verdadeiramente interessantes como o de hoje. Esta seria de facto uma ajuda preciosa…
Para os interessados o vídeo do Samy está aqui (ou vai estar): https://dsi.iscte.pt/videodifusao/sessoes/dcti_20101015/
a apresentação dele, está aqui: http://samy.pl/talks/2010-talk.ppt
Algumas fotos, aqui: http://www.flickr.com/photos/iscteiul/sets/72157625170553132/
E mais algumas aqui: http://www.flickr.com/photos/carlosserrao/sets/72157625047553033/
Obrigado OWASP.
Obrigado Samy.
Obrigado ISCTE-IUL e ADETTI-IUL.
Obrigado a todos vocês.
Samy Kamkar – video-difusão
Oct 15th
Para quem não pode estar presente na palestra do Samy Kamkar hoje no ISCTE-IUL, aqui fica o link para a página onde o evento vai ser transmitido online: http://iscte.pt/videodifusao.jsp (18h30 GMT+1)
Samy Kamkar – Como chegar…?
Oct 14th
Para todos aqueles que estão registados para estarem presentes para assistir à apresentação do Samy Kamkar no ISCTE-IUL, aqui fica alguma informação útil para poderem encontrar de imediato a localização do local da apresentação (Ed. ISCTE-IUL II, Piso 1, Auditório B1.04).
A apresentação realizar-se-á no ISCTE-IUL, na Av. das Forças Armadas, em Lisboa. Aqui fica o link para o Google Maps.
Acima podem encontrar um mapa da zona envolvente (cliquem na imagem para ficar maior), assim como informação sobre as duas principais entradas do Ed. ISCTE-IUL II (o maior e mais recente):
- uma das entradas é do lado da Av. das Forças Armadas, mas que dá entrada para o piso 2 do edifício – recordo que a apresentação decorre no piso 1, pelo que é necessário descer um piso;
- a outra entrada pode ser abordada de duas formas: a) subindo pela rua que vai de Entrecampos, passando ao lado da Biblioteca Nacional, e b) entrando pelo lado do Hospital de Santa Maria. Esta entrada, fica em frente a um parque de estacionamento (pago), onde poderão estacionar (se vierem de carro), e dá directamente para o piso 1.
E penso que são todas as instruções que necessitam.
Samy Kamkar em Lisboa. Obrigado OWASP!
Sep 24th
Graças à OWASP conseguimos trazer o Samy Kamkar a Portugal, e integrar Lisboa, na lista de cidades europeias que o Samy está a percorrer durante Setembro e Outubro (detalhes abaixo).
Ficam por isso desde já todos convidados a comparecer, e assistir à apresentação do Samy em terras lusas. A apresentação é livre e gratuita, e os lugares são limitados (cerca de 150). Por isso, agradeço a todos que desejem estar presentes, que se registem em http://samykumkarlisbon.eventbrite.com/.
Mais uma vez o meu agradecimento à OWASP por ter tornado isto possível…
How I Met Your Girlfriend Samy Kamkar ISCTE-IUL (Auditório B1.04) 15 de Outubro 2010, 18h30
Samy Kamkar é mais conhecido pelo primeiro worm XSS (Samy worm) que desenvolveu para o MySpace, e que infectou mais de um milhão de utilizadores em menos de 24 horas. É co-fundador da Fonality, Inc., uma empresa de produtos de IP PBX, e liderou anteriormente o desenvolvimento de todo o software de gestão do servidor de nomes dos domínios de topo para a Global Domains International.
Nos últimos 10 anos, o Samy tem-se focado no desenvolvimento de software de algoritmos genéticos e evolucionários, voz sobre IP, pesquisa automática de vulnerabilidades de segurança, reverse engineering, e jogos através da rede.
How I Met Your Girlfriend: nesta palestra, Samy Kamkar vem apresentar a descoberta e execução de uma classe de ataques completamente novos que podem ser executados através da Web por forma a travar conhecimento com a sua namorada. Ao longo da sua apresentação, Samy vai falar de um conjunto de novos ataques descobertos, incluindo HTML5 XSS do lado do cliente (sem que o ataque de XSS chegue ao servidor), roubo de sessões e fraca aleatoriedade de números no PHP (adivinhando com precisão os cookies de sessão em PHP), confusão de protocolos no browser Web (tornando um browser num servidor SMTP), penetração de firewalls e NAT através de Javascript (colocando o router a funcionar contra o utilizador), rapto remoto do Google Maps no iPhone (penetração no iPhone combinado com um ataque man-in-the-middle HTTP), extracção de informação de geo-localização precisa do browser Web (não recorrendo a geo-localização por IP), e muito mais.
Esta sessão, organizada pela OWASP com o suporte do ISCTE-IUL e da ADETTI-IUL, foi igualmente apresentada numa das maiores conferências de Segurança do Mundo, a BlackHat 2010, que se realizou em Las Vegas nos EUA, e faz parte de um Tour Europeu (patrocinado pela OWASP) que o Samy está a realizar (mais de 10 cidades da Europa).
