Segurança de Aplicações Web
Posts tagged ataques
XSS demo para roubar passwords no Firefox
Mar 16th
E aqui fica uma demo sobre como usar Cross Site Scripting (XSS) para roubar passwords do gestor de passwords do Firefox (aliás, técnicas semelhantes podem ser usadas para o Internet Explorer, Safari, Chrome, Opera e outros).
Mais um motivo para não usar a opção de deixar que o browser memorize as passwords por nós.
Google altera a sua política na China
Jan 12th
Primeiro foi o Twitter que tinha sido atacado. Depois foi a vez do Baidu (motor de busca Google para a China) também ter sido alvo de um ciber-ataque. Estes ataque partiram de um grupo designado por Iranian Cyber Army (que na sua tradução para português significa o Exército Iraniano do Ciberespaço).
Parece-me assim que está dado o mote sobre como serão travadas as batalhas no futuro. Através de um terminal de computador a atacar as infra-estruturas de tecnologia de informação e comunicação de um inimigo remoto, dependente das mesmas.
Agora, numa acção sem precedentes a Google resolve encerrar as suas operações na China, algo que me motiva acima de tudo surpresa. Pode ler-se no blog oficial da Google, toda a história com maior detalhe, mas em traços muito gerais o que se passou foi o seguinte.
Em meados de Dezembro do ano passado a Google tinha sido vítima, assim como outras organizações (presumo que o Twitter esteja neste rol) de um ataque informático originário na China (GhostNet). Outro facto surpreendente é que a Google verificou que houve uma tentativa (sem sucesso) de aceder às contas de Gmail de activistas de direitos humanos chineses. Por outro lado, a Google conseguiu igualmente confirmar que existiram acessos não autorizados a contas Gmail (através de esquemas de spam e de phishing) de diversos cidadãos dos EUA, UE e da China, conhecidos pela sua luta pelos direitos humanos na China.
Posto isto, e visto que o que está em causa não são apenas ataque informáticos “normais”, mas sim tentativas claramente direccionadas de obter informação mais detalhada sobre activistas que lutam por melhores condições humanas e políticas na China, a Google vai alterar a sua política na China, e vai deixar de filtrar conteúdos no seu motor de busca como acontecia até então. Coloca-se o pior cenário, que consiste no encerramento de todas e quaisquer operações na China.
Não deixa de ser curioso o facto de que possivelmente (e conseguimos ler isso nas entrelinhas do texto que a Google escreve) o estado Chinês usar ataques informáticos contra empresas, governos, e cidadãos em qualquer parte do Mundo, violando a sua privacidade, como uma forma de manter a sua política atroz de controlar a voz do seu próprio povo, que parece ganhar tom contra um regime opressor.
Parece que a Google viu isso… e vai tomar a única acção possível.
Segurança nos serviços de redução do tamanho dos URL
Apr 9th
Este artigo, discute alguns dos problemas de segurança relacionados com os serviços de redução do tamanho de URL (URL shortning services).
Um dos principais problemas destes serviços, que agora surgem em número bastante considerável devido ao sucesso do Twitter, prende-se com o facto do utilizador perder um pouco o controlo sobre alguma informação que a URL pode conter sobre a localização para onde o utilizador será redireccionado.
Muito interessante. Vale a pena a leitura.
Polícia Judiciária andou à pesca em Lisboa
Apr 3rd
Um dos ataque mais comuns dos nossos dias dá pelo nome de phishing. O phishing é um ataque que leva o utilizador a revelar as suas credenciais de autenticação quando confrontado com informação que lhe parece ser fidedigna e legítima. É muitas das vezes aplicado para levar os utilizadores dos sites de homebanking a revelarem o seu username e password.
Segundo o TEK.Sapo, a Policia Judiciária “pescou” em Lisboa dois phishers que se aproveitaram desta técnica para usurpar algum dinheiro a alguns utilizadores mais incautos.
Nunca é demais lembrar que apesar destes ataques estarem a ficar cada vez mais evoluídos, nunca deve revelar as suas credenciais de autenticação, sempre que tenha a mínima dúvida em relação à legitimidade e honestidade do meio que as solicita. Acima de tudo, desconfie sempre se este tipo de solicitações forem provenientes por email.
