Está ainda numa fase de desenvolvimento muito intenso, mas pode ser mais uma ferramenta importante a juntar ao rol das existentes.

Nesta série de artigos, são abordados os diversos riscos identificados pelo OWASP Top 10, sendo explicados detalhadamente cada um deles, com exemplos, numa perspectiva de um programador de .Net.

Para já, já existem os seguintes artigos sobre três dos principais riscos:

• Injecção
• Cross-Site Scripting (XSS)
• Quebra de Autenticação e da Gestão de Sessões

Aqui fica a lista:

1. Prevenir que informação desnecessária seja mostrada
   
2. Forçar a utilização de SSL
   
3. Usar o .htaccess para proteger o ficheiro wp-config
   
4. Banir bots e utilizadores não desejados
   
5. Proteger o blog WordPress de injecções de scripts
   
6. Lutar contra os usurpadores de conteúdos
   
7. Criar um plug-in para proteger o blog contra pedidos maliciosos de URL
   
8. Remover o número de versão do WordPress
   
9. Alterar o nome do utilizador “Admin” que vem configurado por defeito
   
10. Impedir a navegação em directorias
    

Vale a pena dar uma vista de olhos…

O estudo foi conduzido com o objectivo de perceber os riscos de sites de web inseguros e como as organizações estão a lidar com as ameaças internas e externas. O estudo revela que apesar de muitas organizações terem algumas das suas aplicações críticas de negócio acessíveis através dos seus sites web, as mesmas não conseguem envolver os recursos necessários para garantir a protecção e segurança destas aplicações web que são importantes nas suas operações. Isto é particularmente preocupante se considerarmos que a camada aplicacional é um dos alvos preferidos de atacantes.

O estudo envolveu cerca de 638 empresas dos Estados Unidos e um conjunto de empresas de segurança. O estudo revela que os sites web estão em risco pelos seguintes motivos:

• 70% dos inquiridos não acreditam que as suas organizações reservem e invistam os recursos suficientes para garantir a segurança e proteger as suas aplicações Web críticas;
  
• 34% de vulnerabilidades urgentes e críticas não são resolvidas;
  
• 38% acreditam que será necessário mais do que 20h de tempo de programação (em média) para resolver uma vulnerabilidade;
  
• 55% dos inquiridos acreditam que os programadores estão demasiado ocupados para responderem aos problemas de segurança detectados.

É um estudo muito interessante, e com resultados igualmente interessantes.

Aconselha-se a leitura do mesmo. Aqui.

O Jarlsberg é portanto uma aplicação web inerentemente insegura, um pouco à semelhança do que acontece com o Webgoat da OWASP, que serve para demonstrar como funcionam os mais diversos ataques a aplicações Web. A ferramenta está organizada em diversos laboratórios de teste, que permitem que alguém possa ir evoluindo no estudos dos mesmos. É possível usar técnicas de black box hacking e de white box hacking para ir explorando as múltiplas vulnerabilidades da aplicação, que vai desde cross-site scripting e cross-site request forgery a perdas de informação, negação de serviços e execução remota de código.

O Jarlsberg funciona integralmente online, sobre o Google AppEngine, foi escrito em Python, e constitui-se assim como excelente recurso de formação e de treino nesta área. Ao longo de diversas lições devidamente explicativas e claras, e com a ajuda da ferramenta da Google, o utilizador irá perceber um pouco melhor todo este contexto de segurança aplicacional para a Web.

Vale a pena ver.

De acordo com o que o próprio Google afirma:

The safety of the Internet is of paramount importance to Google, and helping web developers build secure, reliable web applications is an important part of the equation.

Por isso mesmo, a Google disponibiliza uma ferramenta, de seu nome Skipfish, que é open-source, livre e gratuita e que pode ser usada para efectuar testes automáticos de segurança a aplicações web.

As principais características do Skipfish são:

• Velocidade: ferramenta bastante rápida, desenvolvida em C, optimizada para trabalhar com HTTP e com baixa utilização de recursos;
  
• Facilidade de Utilização: utiliza heurísticas avançadas que permitem o reconhecimento e adaptação a novas situações de análise;
  
• Lógica de segurança avançada: inclui a possibilidade de detectar ataques que resultariam em falsos negativos noutras ferramentas como por exemplo vulnerabilidades de blind injection.
  

• Server-side SQL injection (including blind vectors, numerical parameters)
  
• Explicit SQL-like syntax in GET or POST parameters
  
• Server-side shell command injection (including blind vectors)
  
• Server-side XML / XPath injection (including blind vectors)
  
• Format string vulnerabilities
  
• Integer overflow vulnerabilities
  
• Locations accepting HTTP PUT
  
• Stored and reflected XSS vectors in document body (minimal JS XSS support present)
  
• Stored and reflected XSS vectors via HTTP redirects
  
• Stored and reflected XSS vectors via HTTP header splitting
  
• Directory traversal (including constrained vectors)
  
• Assorted file POIs (server-side sources, configs, etc)
  
• Attacker-supplied script and CSS inclusion vectors (stored and reflected)
  
• External untrusted script and CSS inclusion vectors
  
• Mixed content problems on script and CSS resources (optional)
  
• Incorrect or missing MIME types on renderables
  
• Generic MIME types on renderables
  
• Incorrect or missing charsets on renderables
  
• Conflicting MIME / charset info on renderables
  
• Bad caching directives on cookie setting responses
  
• Directory listing bypass vectors
  
• Redirection to attacker-supplied URLs (stored and reflected)
  
• Attacker-supplied embedded content (stored and reflected)
  
• External untrusted embedded content
  
• Mixed content on non-scriptable subresources (optional)
  
• HTTP credentials in URLs
  
• Expired or not-yet-valid SSL certificates
  
• HTML forms with no XSRF protection
  
• Self-signed SSL certificates
  
• SSL certificate host name mismatches
  
• Bad caching directives on less sensitive content
  

• Usar correctamente as listas de amigos;
• Remover-se dos resultados de pesquisa do Facebook;
• Evitar o tagging em fotos e vídeos (o que pode ser embaraçoso);
• Proteger os seus álbuns de fotografias;
• Evitar que as histórias apareçam no feed de news dos seus amigos;
• Proteger-se contra histórias publicadas por outras aplicações;
• Tornar a sua informação de contacto privada;
• Evitar Wall posts que possam ser embaraçosos;
• Tornar as suas relações privadas;

No entanto as ameaças não estão resumidas à privacidade dos utilizadores. As ameaças que populam as redes sociais, em particular as de maior dimensões, são cada vez mais perigosas. Uma das ameaças mais recentes no Facebook é uma aplicação misteriosa que está a afectar os utilizadores [7]. Os utilizadores estão a ser solicitados por outros utilizadores a instalarem uma aplicação chamada “Unnamed App”. A Sophos já identificou esta ameaça como sendo Mal/FakeVirPk-A.

Figura 2. Alguns dos utilizadores mais activos no Facebook são muitas vezes confrontados com aplicações estranhas que podem ter comportamentos completamente diferentes do esperado

Figura 3. Inclusive podem enviar “chat requests“ com links para sites que podem conter software malicioso

Figura 4. Notificações dessas mesmas aplicações que não são mais do que pedidos “encapuçados” para levar o utilizador para outros sites na Internet

Figura 5. Alguns desses pedidos servem para bombardear os utilizadores com publicidade não solicitada

No passado ano de 2009 foram duas as principais ameaças que afectaram as principais redes sociais e que estiveram na origem de inúmeros problemas. Uma destas ameaças deu pelo nome de Koobface (um anagrama da palavra Facebook), e que é um worm que ataca directamente os utilizadores de redes sociais como o Facebook, MySpace, hi5, Bebo, Friendster, e Twitter. O Koobface tenta, após infectar o sistema do utilizador, vai tentar obter informação diversa do utilizador, tal como números de cartão de crédito.

O Koobface espalha-se através do envio de mensagens do Facebook a pessoas que são “amigas” de um utilizador Facebook que tenha sido previamente infectado. Depois de recebida, a mensagem direcciona o receptora para um site de Web, em que os utilizadores são levados a pensar na existência de uma actualização de uma versão recente do software Flash. Se descarregarem e instalarem este ficheiro, os utilizadores ficam igualmente infectados com o Koobface, passando a estar sob o controlo do mesmo e passando a infectar mais utilizadores. Um sistema infectado com o Koobface possui instalado os seguintes componentes [9]:

• Componente que permite descarregar mais software Koobface da Internet sem o utilizador se aperceber;
• Componente de propagação para outras redes sociais;
• Componente servidor Web;
• Componente de instalação de um antivírus falso;
• Componente que quebra CAPTCHA;
• Componente para roubar informação;
• Componente modificador de informação de DNS;
• E outros.

O Koobface é um worm tão sofisticado que é capaz de, entre outras coisas:

• Registar uma conta no Facebook;
• Activar essa mesma conta através da confirmação do email enviado para uma conta do Gmail;
• Fazer-se amigo de várias pessoas na rede social;
• Juntar-se a múltiplos grupos no Facebook;
• E colocar posts na Wall de “amigos” com mensagens com links para sites ou para vídeos que são fontes de distribuição de malware;
• Inteligente ao ponto de não adicionar muitos amigos por dia, para não chamar as atenções para si próprio.

A segunda grande ameaça identificada nas redes sociais foi o worm “stalkdaily” criado por um jovem de 17 anos chamado Mikeyy Mooney. Este worm lançou o pânico no Twitter, enviando mensagens aos utilizadores para visitarem site stalkdaily.com que infectava o perfil do visitante que tivesse uma conta de Twitter associada.

As redes sociais (principalmente o Facebook e o Twitter) tornaram-se assim meios preferenciais para lançar diversos tipo de ataques: phishing, malware, roubo de dados e de identidade, stalking, entre outros. Estes atacam não apenas a ingenuidade dos utilizadores, mas igualmente a própria infra-estrutura onde assentam estas redes sociais, em que as mesmas não são completamente imunes a problemas de segurança, e são susceptíveis a algumas das vulnerabilidades apontadas por organizações como a OWASP (através do OWASP Top 10) e como tal podem ser explorados por atacantes determinados. Aplicações como o Facebook (ou as micro-aplicações dentro do próprio Facebook) são reconhecidamente vulneráveis a alguns tipos de vulnerabilidades, como Cross Side Scripting (XSS) e Cross Site Request Forgery (CSRF).

Mas as ameaças à privacidade dos utilizadores na Internet. O próprio gigante Google está hoje a tornar-se uma séria ameaça à privacidade dos utilizadores. A quantidade de serviços que o Google oferece aos utilizadores (motor de busca, Youtube, Adesense, Adwords, Blogger, DNS, URL shortner, e muitos outros) viram tornar a Google numa empresa com características muito especiais. Nunca antes na história, tanta informação (muita dela pessoal) esteve nas mãos de uma única entidade privada. Quais os perigos que isto pode representar em termos de privacidade para os muitos milhões de utilizadores que usam os serviços/produtos da Google? Fala-se muito do monopólio da Microsoft, mas o verdadeiro monopolista da informação é o Google.

Foi referido que o recente ataque levado a cabo por hackers chineses ao Google (Gmail) assim como a outras empresas norte-americanas e europeias, só ter sido possível porque a Google colocou um backdoor no Gmail para poder ser acedido pelo Governo norte-americano (foi por aí que os atacantes conseguiram entrar)[1][2]. Este backdoor, a confirmar-se, diz muito sobre as intenções da Google, e sobre a forma como a nossa informação é processada pela empresa.

No caso das redes sociais, aqui ficam algumas recomendações sobre privacidade/segurança em redes sociais. Nem todas se aplicam em todos os casos, mas aqui ficam alguns desses mesmos conselhos:

• Se usar um sistema operativo Windows, deve usar um antivírus, que consiga detectar ameaças na Web e que funcione igualmente como firewall e anti-spyware;
• Cuidado com a informação que partilha e com quem assim como com os conteúdos que coloca nas redes sociais
• Reveja as politicas de partilhas e âmbito das mesmas no Facebook;
• Nunca revelar informação pessoal (detalhes de morada, etc.) ou de negócio através de redes sociais;
• Cuidado com fotos e outros conteúdos que se colocam nas redes sociais – o que é giro hoje pode ser comprometedor no futuro;
• Desconfiar sempre dos links e outras mensagens que sejam partilhados por “amigos” conhecidos e desconhecidos;
• Isto é particularmente difícil, pois os serviços de redução das URL escondem os detalhes da URL original.
• Não instalar discriminadamente aplicações no Facebook, sem saber do que se trata primeiro. Nunca, mas mesmo nunca instalar aplicações desconhecidas!
• Em resumo: usar as redes sociais **SIM**, mas com **RESPONSABILIDADE**!

[1] Alvy/Microsiervos, “China vs. Google: los atacantes aprovecharon una “puerta trasera” en GMail pensada para el gobierno americano”, lainformacion.com, 25 Janeiro 2010, http://noticias.lainformacion.com/arte-cultura-y-espectaculos/internet/china-vs-google-los-atacantes-aprovecharon-una-puerta-trasera-en-gmail-pensada-para-el-gobierno-americano_xYmT4AxRsa69E4HY9LmKr/
[2] Bruce Schneier, “U.S. enables Chinese hacking of Google”, CNN, 23 Janeiro 2010, http://edition.cnn.com/2010/OPINION/01/23/schneier.google.hacking/index.html
[3] Nick O’Neill, “10 Privacy Settings Every Facebook User Should Know”, Fevereiro 2009, http://www.allfacebook.com/2009/02/facebook-privacy/
[4] SARAH PEREZ, “The 3 Facebook Settings Every User Should Check Now”, The New York Times, Janeiro 2010, http://www.nytimes.com/external/readwriteweb/2010/01/20/20readwriteweb-the-3-facebook-settings-every-user-should-c-29287.html?em
[5] Kevin Bankston, “Facebook’s New Privacy Changes: The Good, The Bad, and The Ugly”, EFF, Dezembro 2009, http://www.eff.org/deeplinks/2009/12/facebooks-new-privacy-changes-good-bad-and-ugly
[6] Marshall Kirkpatrick, “Privacy, Facebook and the Future of the Internet”, Read Write Web, Janeiro 2010, http://www.readwriteweb.com/archives/privacy_facebook_and_the_future_of_the_internet.php
[7] David Neal, “Mystery app plagues Facebook users”, Yahoo! News, Janeiro 2010, http://uk.news.yahoo.com/16/20100128/ttc-mystery-app-plagues-facebook-users-6315470.html
[8] Michael Evans, “Wife of Sir John Sawers, the future head of MI6, in Facebook security alert”, Times Online, July 2009, http://technology.timesonline.co.uk/tol/news/tech_and_web/article6644199.ece
[9] Jonell Baltazar, Joey Costoya, and Ryan Flores, “The Real Face of KOOBFACE: The Largest Web 2.0 Botnet Explained”, Trend Micro Threat Research, 2009, http://us.trendmicro.com/imperia/md/content/us/trendwatch/researchandanalysis/the_real_face_of_koobface_jul2009.pdf
[10] Lidija Davis, “StalkDaily: A New Twitter Virus on the Loose?”, ReadWriteWeb, 2009, http://www.readwriteweb.com/archives/stalkdaily_a_new_twitter_virus_on_the_loose.php
[11] Sophos, “Security Threat Report:2010”, Sophos, 2010, http://www.sophos.com/sophos/docs/eng/papers/sophos-security-threat-report-jan-2010-wpna.pdf

Para além desses dois excelentes resumos, o que me despertou mais a atenção no blog do Jeremiah foi a sua listagem que descreve as 10 principais técnicas de hacking da Web – através de apresentações ou de artigos. Tomei a liberdade de reproduzir essa mesma listagem aqui, em português:

1. Criação de certificado forjado de CA: uma vulnerabilidade encontrada na actual infra-estrutura de PKI que permite forjar um certificado de uma CA, e com isso gerar certificados digitais forjados para uma série de sites, com o intuito de emitar outros legítimos. Este ataque/vulnerabilidade baseia-se numa fraqueza encontrada na função de hash MD5;
   
2. Poluição de parâmetros HTTP (HPP): este tipo de ataques ocorrem com a possibilidade de ultrapassar ou injectar parâmetros HTTPS POST/GET através da injecção de delimitadores de cadeias de caracteres. Esta vulnerabilidade pode ser usada para ataques do lado do cliente ou do servidor;
   
3. Vulnerabilidade da API do Flickr que permite forjar assinaturas (ataque à extensão MD5): uma vulnerabilidade encontrada na API do Flickr com a chave que permite gerar as assinaturas necessárias para a autenticação das aplicações externas que usam a API do Flickr. Esta vulnerabilidade permite que um utilizador possa gerar assinaturas válidas sem conhecer a parte secreta de uma chave;
   
4. Pesquisa intra-domínios temporizada: um ataque de timing (de temporização) é um ataque em que um atacante tenta comprometer um sistema analisando o tempo que demorar uma determinada operação a ser realizada;
   
5. DoS HTTP Slowloris: o Slowloris é um ataque de DoS HTTP que se aproveita do facto de que é possível manter uma sessão HTTP aberta indefinidamente e de se poder repetir esse mesmo processo por diversas vezes;
   
6. Vulnerabilidade 0-day no parsing de ficheiros do IIS: esta vulnerabilidade surge(ia) pelo facto do ISS executar código ignorando a interpretação de um ‘;’. Por exemplo o script “malicioso.asp;.jpg” seria executado (o ASP) uma vez que o IIS ignorava o ‘;’ e considerava o ficheiro como sendo uma imagem JPEG;
   
7. Explotar XSS inexplorado: mais um conjunto métodos para explorar vulnerabilidades do tipo XSS;
   
8. Os filtros XSS favoritos e como atacá-los
9. Problemas de segurança na cache RFC1918: explorar os mecanismos de mapeamento de cache desse mapeamento na Internet, em especial nos endereços IP não-públicos que são passíveis de “routear”;
   
10. Rebinding to DNS: este tipo está divido em três partes distintas, cookies persistentes, scraping e spamming e fixação de sessões.