Segurança de Aplicações Web
Problemas
Atenção: Phishing usa Polícia de Segurança Pública
Oct 21st
Foi hoje denunciada a existência de um email a circular nas caixas de correio nacionais, que usa o nome da Polícia de Segurança Pública (PSP) para efectuar uma convocatória judicial.
O email é falso!!! Trata-se de uma mensagem falsa e que visa realizar ataques de phishing contra os utilizadores mais incautos. A própria PSP já vei desmentir que use o email para realizar quaisquer tipo de diligências semelhantes às que se refere o email.
Como sempre recomenda-se a aplicação de um conjunto de práticas comuns:
- eliminar o email
- evitar abrir o email ou carregar nalgum dos seus links
- ter as ferramentas anti-virus e anti-spam devidamente actualizadas
- em caso de dúvida, não arrisque, nunca!
Aqui se reproduz o email em causa:
From:
Date: 2009/9/21
Subject: Convocatória Judicial
PROCEDIMENTO INVESTIGATÓRIO N.º 363.234/2009
Um exemplo a seguir em Portugal???
Oct 19th
Achei curiosa esta notícia sobre a intenção do Department of Homeland Security nos EUA em contratar nos tempos mais próximos cerca de 1000 especialistas em segurança da informação e dos sistemas.
Numa altura em que tanto se fala na (in)segurança dos sistemas de informação da Administração Pública, em particular dos da Presidência da República, não seria este um exemplo a seguir (embora adaptando as necessidades à dimensão e realidade nacional) em Portugal?
Quão seguro é o Mac OS X?
Oct 19th
Volta novamente o debate sobre a segurança de plataforma Mac OS X. Neste artigo, Sean Morrissey discute a maturidade da segurança da plataforma Mac OS X.
Mac security at this time is in its infancy.
Esta é apenas uma das muitas afirmações que Sean Morrissey faz ao longo desta entrevista, e coloca em causa o modelo de segurança que a Apple implementa no Mac OS X.
Este debate é muito interessante e coloca mais uma vez em causa a velha questão da “safety vs. security”. A verdade é que os utilizadores Mac, continuam a ter poucas ameaças em termos de virus e de malware, enquanto por contrapartida, existem dezenas de milhar de ameaças para a plataforma Windows.
Vale a pena ler a entrevista levada a cabo pela Help Net Security.
Evitar o malware do Windows usando um Live CD Linux
Oct 14th
Recentemente foi publicado um artigo no Washington Post que relatava os riscos que as pequenas e médias empresas corriam no acesso às suas contas bancárias online, em especial se usassem computadores baseados no sistema operativo Windows.
Segundo o autor do artigo, depois de ter analisado algumas situações, a utilização de computadores com Windows é um risco demasiado grande para as organizações por causa da proliferação de malware para estas plataformas, que procuram interceptar os dados de acesso às contas bancárias, e com isso tirar partido dos dados de acesso para realizar desvios de fundos.
Assim, o autor do artigo recomenda, entre outras coisas que o acesso às contas bancárias seja realizado a partir de um único computador (especificamente destinado para esse efeito), e que o mesmo seja ligado usando um Live CD com uma distribuição de Linux, para acesso às contas bancárias online da empresa. Quase todas as distribuições de Linux, oferecem o acesso a um Live CD, basta escolher a preferida.
Este é um problema grave, pois existe malware que permite efectuar um bypass dos diversos controlos de acesso e de autenticação dos serviços de banca online. Este é um problema sério e preocupante.
A utilização de um Live CD de Linux, permitirá que se tenha sempre um computador “limpo”, com toda a segurança oferecida por um sistema Linux, de cada vez que o mesmo arranca. Como não é possível escrever no CD, todos os dados, depois de terminada a sessão e desligado o computador, perdem-se. Logo, da próxima vez que se ligar é um computador “limpo” de novo.
Vale a pena ler, não só o artigo, assim como toda thread de comentários, que por si só é um manancial de informação “viva” muito interessante.
Segurança nos serviços de redução do tamanho dos URL
Apr 9th
Este artigo, discute alguns dos problemas de segurança relacionados com os serviços de redução do tamanho de URL (URL shortning services).
Um dos principais problemas destes serviços, que agora surgem em número bastante considerável devido ao sucesso do Twitter, prende-se com o facto do utilizador perder um pouco o controlo sobre alguma informação que a URL pode conter sobre a localização para onde o utilizador será redireccionado.
Muito interessante. Vale a pena a leitura.
Polícia Judiciária andou à pesca em Lisboa
Apr 3rd
Um dos ataque mais comuns dos nossos dias dá pelo nome de phishing. O phishing é um ataque que leva o utilizador a revelar as suas credenciais de autenticação quando confrontado com informação que lhe parece ser fidedigna e legítima. É muitas das vezes aplicado para levar os utilizadores dos sites de homebanking a revelarem o seu username e password.
Segundo o TEK.Sapo, a Policia Judiciária “pescou” em Lisboa dois phishers que se aproveitaram desta técnica para usurpar algum dinheiro a alguns utilizadores mais incautos.
Nunca é demais lembrar que apesar destes ataques estarem a ficar cada vez mais evoluídos, nunca deve revelar as suas credenciais de autenticação, sempre que tenha a mínima dúvida em relação à legitimidade e honestidade do meio que as solicita. Acima de tudo, desconfie sempre se este tipo de solicitações forem provenientes por email.
Problemas de Segurança no Google Docs
Apr 1st
Apesar de ser uma excelente ferramenta de produtividade e de partilha de documentos, e de ser suportado pelo gigante de software e de aplicação web, que dá pelo nome de Google, o Google Docs não está isento de falhas de software.
Recentemente um consultor de segurança descobriu um conjunto de vulnerabilidades de segurança na aplicação Google Docs, mais concretamente, três vulnerabilidades:
- Quando se introduz uma imagem num documento protegido, a mesma é carregada num servidor, a que mesmo pessoas sem acesso ao ficheiro, podem aceder à imagem, visualizá-la e descarregá-la;
- Em segundo lugar, se se partilhar um documento com um diagrama, a pessoa com quem se partilhou o documento pode ter acesso a todas as versões desse mesmo diagrama, para além da que está no documento partilhado;
- A terceira vulnerabilidade descoberta tem que ver com as permissões de acesso ao documento. Se retirar a permissão a uma pessoa para aceder aos seus documentos, este podem, em alguns casos, ter acesso posterior aos documentos sem o conhecimento do dono do mesmo.
O nível de gravidade das duas primeiras vulnerabilidades é consideravelmente baixo. No entanto, a terceira vulnarabilidade, a persistir, é uma vulnerabilidade muito séria que compromete a integridade de todo o Google Docs.
Entretanto a Google já se manifestou sobre estes problemas.
OWASP AntiSamy comprometido?
Apr 1st
A ferramenta da AntiSamy é um projecto do OWASP que serve para filtrar o input que as aplicações web recebem por parte de utilizadores. Existem aplicações web que permitem a introdução de conteúdo em HTML e CSS. A ferramenta AntiSamy permite filtrar esse mesmo conteúdo introduzido de acordo com um conjunto de regras pré-estabelecido. Isto permite evitar ataques de XSS contra as aplicações web.
Aparentemente, alguém descobriu agora que existe uma forma de efectuar o bypass do controlo oferecido pelo AntiSamy. O método consistem em comprometer uma das bibliotecas Java, nas quais o AntiSamy se baseia, para corromper a forma como funciona. Mais detalhes podem ser encontrados aqui.
