Para além desses dois excelentes resumos, o que me despertou mais a atenção no blog do Jeremiah foi a sua listagem que descreve as 10 principais técnicas de hacking da Web – através de apresentações ou de artigos. Tomei a liberdade de reproduzir essa mesma listagem aqui, em português:

1. Criação de certificado forjado de CA: uma vulnerabilidade encontrada na actual infra-estrutura de PKI que permite forjar um certificado de uma CA, e com isso gerar certificados digitais forjados para uma série de sites, com o intuito de emitar outros legítimos. Este ataque/vulnerabilidade baseia-se numa fraqueza encontrada na função de hash MD5;
   
2. Poluição de parâmetros HTTP (HPP): este tipo de ataques ocorrem com a possibilidade de ultrapassar ou injectar parâmetros HTTPS POST/GET através da injecção de delimitadores de cadeias de caracteres. Esta vulnerabilidade pode ser usada para ataques do lado do cliente ou do servidor;
   
3. Vulnerabilidade da API do Flickr que permite forjar assinaturas (ataque à extensão MD5): uma vulnerabilidade encontrada na API do Flickr com a chave que permite gerar as assinaturas necessárias para a autenticação das aplicações externas que usam a API do Flickr. Esta vulnerabilidade permite que um utilizador possa gerar assinaturas válidas sem conhecer a parte secreta de uma chave;
   
4. Pesquisa intra-domínios temporizada: um ataque de timing (de temporização) é um ataque em que um atacante tenta comprometer um sistema analisando o tempo que demorar uma determinada operação a ser realizada;
   
5. DoS HTTP Slowloris: o Slowloris é um ataque de DoS HTTP que se aproveita do facto de que é possível manter uma sessão HTTP aberta indefinidamente e de se poder repetir esse mesmo processo por diversas vezes;
   
6. Vulnerabilidade 0-day no parsing de ficheiros do IIS: esta vulnerabilidade surge(ia) pelo facto do ISS executar código ignorando a interpretação de um ‘;’. Por exemplo o script “malicioso.asp;.jpg” seria executado (o ASP) uma vez que o IIS ignorava o ‘;’ e considerava o ficheiro como sendo uma imagem JPEG;
   
7. Explotar XSS inexplorado: mais um conjunto métodos para explorar vulnerabilidades do tipo XSS;
   
8. Os filtros XSS favoritos e como atacá-los
9. Problemas de segurança na cache RFC1918: explorar os mecanismos de mapeamento de cache desse mapeamento na Internet, em especial nos endereços IP não-públicos que são passíveis de “routear”;
   
10. Rebinding to DNS: este tipo está divido em três partes distintas, cookies persistentes, scraping e spamming e fixação de sessões.
    

Esta lista pode ser consultada directamente a partir do seu blog.

A equipa que desenvolve e distribui a distribuição Backtrack anunciou recentemente que a versão final do BT4.

O BT4 é composto por um conjunto alargado de ferramentas que permitem efectuar testes de penetração, num ambiente integralmente dedicado a profissionais de segurança. O BT permite um leque alargado de opções de instalação e de execução:
1. Pode correr nativamente na máquina
2. Pode ser executado como um Live CD
3. Pode ser executado a partir de uma pen USB

Enfim, o BT4 é uma ferramenta fundamental para quem está trabalha na área de segurança de informação, e tem como principal actividade a realização de testes à segurança de sistemas – em particular testes de penetração. O BT4 vem (bem) apetrechado com as mais recentes versões de todas as ferramentas necessárias à realização da sua actividade profissional.

Como não poderia deixar de ser, queria desde já lançar aqui um alerta para que não hajam posteriores confusões. O BT4, como qualquer ferramenta de segurança informática (especialmente aquelas mais vocacionadas para a realização de testes de vulnerabilidades), podem ser utilizadas para fins maléficos. É completamente desaconselhada a utilização deste tipo de ferramentas para fins ilícitos, sob pena de poderem ser punidos de acordo com a legislação em vigor. O aviso à navegação fica feito.

Esta e outras ferramentas e informações semelhantes servem única e exclusivamente para fins de investigação na área da segurança de informação e ajudar os profissionais a trabalharem no sentido da melhoria das condições de segurança de informação dos seus clientes. Utilizar este tipo de ferramentas para outros fins que não estes, sujeita os utilizadores das referidas ferramentas a punições de acordo com a aplicação da legislação em vigor.

Usar cloud computing para quebrar o PGP
O Cloud Computing tem vindo a permitir alguns projectos interessantes, que não teriam sido tentados anteriormente sem o barato, flexível, disponível e simples acesso que permite liberar o poder de computação que “nuvem” proporciona.

Uns tipos resolveram aproveitar o poder computacional proporcionado pela cloud (Amazon EC2) e resolveram montar um projecto para quebrar as palavras-passe PGP dos ficheiros ZIP. Para isso usaram parte do software da Elcomsoft Distributed Password Recovery. O software a correr num computador dual core com Windows 7 iria demorar cerca de 2100 dias para quebrar as palavras-passe num ataque de força bruta. O objectivo é reduzir este número para um valor bastante mais aceitável…

Interessante.

Vulnerabilidade no Kernel Linux

Foi descoberta uma vulnerabilidade no kernel Linux que afecta a maioria das versões do Linux e que pode permitir que utilizadores não confiáveis possam conseguir o controlo completo sobre o sistema operativo open-source.

Esta vulnerabilidade foi apenas corrigida na próxima release candidate 2.6.32 do kernel do Linux, fazendo com que praticamente todas as versões de produção em utilização estejam neste momento vulneráveis.

Mais detalhes podem ser obtidos aqui.

Relatório de estatísticas de vulnerabilidades Web

O Web Application Security Consortium (WASC) publicou o WASC Web Application Security Statistics Project 2008. Os objectivos deste projecto eram os seguintes:

1. Identificar a prevalência e a probabilidade das diferentes classes de vulnerabilidades;
   
2. Comparar as metodologias de testes com os tipos de vulnerabilidades que as mesmas seriam capazes de identificar.
   

Gumblar está de volta

Ao que parece, o Gumblar está de regresso. O Gumblar infecta sites de web vulneráveis como forma de comprometer PCs que estejam igualmente vulneráveis.

Recentemente, foram encontrados milhares de sites em que havia sido colocado um IFRAME, como forma de colocar conteúdo de um site num outro. Este IFRAME redireccionava o tráfego para o domínio gumblar.cn. O Gumblar tentava então explorar o computador do utilizador através de vulnerabilidades encontradas em software da Adobe Systems em produtos como o Flash ou o Acrobat Reader e em seguida distribuir o seu código malicioso.

Mais informações sobre esta perigosa ameaça podem ser encontradas neste artigo.

Uma destas ferramentas é o Nikto. O Nikto é um software Open Source (GPL), escrito em Perl, que serve para efectuar análises a servidores web, realizando testes abrangentes a vários itens, incluindo mais de 3.500 arquivos potencialmente perigosos / CGIs, versões em mais de 900 servidores, e a versões de problemas específicos em mais de 250 servidores.

• BackTrack 4: é uma distribuição de Linux centrada em pen-testing, oferecendo as ferramentas necessárias para conduzir os mais diversos testes de penetração, sem que seja necessário a instalação ou configuração de qualquer uma das ferramentas;
  
• OWASP Live CD: é um projecto do OWASP, que reúne igualmente num único CD (distribuição Linux) todas as ferramentas e documentos do OWASP, assim como mais um conjunto de ferramentas de segurança open-source.

Como é que se planeia a identificação e a mitigação de um ataque de negação de serviço de uma aplicação web nos site de web que disponibilizamos e gerimos?

É esta a questão que nos deixa Ryan Barnett, autor de “Preventing Web Attacks with Apache“, sobre como identificar condições de ataques de negação de serviço em aplicações, através da monitorização do desempenho das mesmas.

O autor levanta algumas questões sobre quais os aspectos a proteger em aplicações web, que podem ser um alvo fácil de ataques de negação de serviço. Por exemplo, serão muito mais propensas a um ataque deste género, as funcionalidades de uma aplicação web que necessitem de grande interacção com os sistemas de back-end para gerar relatórios, e que como tal consomem mais recursos quer em termos de processamento quer em termos de memória.

Assim, e segundo Ryan Barnett, torna-se importante a utilização de ferramentas (sugerindo o WebDefend 4.0) que analisam o desempenho das aplicações web, e que detectam quais são os pontos mais susceptíveis a sofrerem um ataque de DoS. Por outro lado, é possível analisar o desempenho de uma aplicação web para verificar se a mesma está a sofrer alguma degradação em termos de desempenho que possa indicar um ataque em curso. Como é óbvio, este tipo de ferramentas não são 100% à prova de falhas e podem originar falsos alarmes, decorrendo de outros aspectos que nada têm que ver com um ataque.

• O que é um ataque de XSS – Cross-Site Scripting
  
• Como detectar vulnerabilidades de XSS;
  
• Introdução à Anti-XSS Library
  
• O que há de nova nesta nova versão da Anti-XSS Library
  
• Demonstração da Anti-XSS Library 3.1
  
• Apresentação do Security Runtime Engine (SRE)
  
• Demonstração do SRE.