As empresas que oferecem serviços digitais e não proporcionam segurança ao usuário, terão uma desaceleração nas vendas podendo perder seu espaço no mercado digital. Isso porque, com a ascensão das vulnerabilidades no ambiente web, os usuários estão fugindo de websites que não apresentam um mínimo de segurança. É o que assegura o gerente da IBM ISS no Brasil, João Gaspar.
Infelizmente a segurança na web não é mais um problema apenas do navegador ou cliente, como costumava ocorrer antes. Somente o certificado digital, o famoso cadeado, também não garante segurança em um web site. Ele garante apenas autenticidade, desde que devidamente validado, e a criptografia dos dados no momento da transação. Os métodos utilizados pelos hackers para conseguir acesso e manipular os dados de usuários estão cada vez mais sofisticados e vão muito além. Os criminosos estão aproveitando alguns aplicativos web que não são seguros, como um arquivo PDF, para assumir o comando de computadores infectados.
Qualquer web site - mesmo os legítimos – podem se tornar suspeitos e oferecer sérios riscos ao internauta. Desta forma, só sobreviverão no mercado empresas que apresentarem uma nova estrutura de segurança online capaz de certificar e ananlisar vulnerabilidades.
A Trustsing tem a ferramenta Site + Seguro, que proporciona uma criptografia padrão SSL de 128 bits aliada a uma ferramenta que analisa possíveis vulnerabilidades e apresenta relatórios com grau de risco de cada uma e como corrigir o problema identificado. O site fica melhor protegido contra ataques, os dados ficam mais seguros e o consumidor fidelizado.
28 de Setembro de 2009 às 14:17
TrustSign
Primeira prova para alguns, uma prova a mais para outros e a equipe TrustSign novamente se superou em limites, desafios individuais e trabalho de equipe.
Participamos neste domingo, 20/09, da 17° Maratona de Revezamento do Pão de Açucar, que aconteceu no parque do ibirapuera e contou com aproximadamente 30.000 pessoas divididas em 5.050 equipes.
Além do lado esportivo e hábitos saudáveis, o evento também incentivou o aspecto ecológico por meio de reciclagem do lixo e locomoção através de bicicletas.
Aos marinheiros de primeira viagem ficou a sensação gratificante de ter se superado. Aos corredores de plantão a vontade de mais. E assim, vamos em novembro para mais uma prova. Até lá, treino e realização de metas são nossos objetivos.
21 de Setembro de 2009 às 17:39
TrustSign
O ataque de Path Transversal tem o objetivo de acessar arquivos e diretórios que estão armazenados fora do diretório utilizado pela aplicação (Webroot).
Acessando a aplicação pelo browser o atacante pode olhar os links absolutos para arquivos armazenados no Web Server. Manipulando as variáveis que referencia os arquivos utilizando “dot-dot-slash (../)” utilizando diferentes seqüências e variações podem permitir acesso arbitrário a arquivos e diretórios no file system, incluindo código fonte da aplicação, arquivos críticos e de configuração do sistema operacional entre outros. Utilizando “../” o atacante consegue direcionar a aplicação para diretórios acima do diretório padrão.
Este ataque pode ser potencializado como veremos abaixo utilizando um código malicioso externo que pode ser injetado diretamente como variável na aplicação, sendo este ataque conhecido também como RFI (Remote File Injection). Este tipo de vulnerabilidade pode ser detectada facilmente utilizando scripts chamados de Spider/Crawler.
Vejamos abaixo dois exemplos clássicos desta falha.
Exemplo 1
O exemplo abaixo mostra como uma aplicação manipula recursos em uso.
http://site/get-files.jsp?file=report.pdf
http://site/get-page.php?home=aaa.html
http://site/some-page.asp?page=index.html
Neste exemplo é possível inserir a string maliciosa como parâmetro da variável a fim de acessar arquivos localizados fora do diretório onde estão publicados os arquivos web.
http://site/get-files?file=../../../../diretorio/arquivo
http://site/../../../../diretorio/arquivo
A URL abaixo mostra como explorar um sistema Unix para pegar seu arquivo de senhas.
http://site/../../../../etc/shadow
http://site/get-files?file=/etc/passwd
Exemplo 2
Vejamos um exemplo clássico de aplicação em PHP vulnerável.
$template = 'blue.php';
if ( is_set( $_COOKIE['TEMPLATE'] ) )
$template = $_COOKIE['TEMPLATE'];
include ( "/home/users/phpconf/templates/" . $template );
?>
Um atacante pode explorar esta vulnerabilidade enviando a seguinte requisição HTTP:
GET /vulneravel.php HTTP/1.0
Cookie: TEMPLATE=../../../../../../../../../etc/passwd
Gerando uma resposta do servidor como esta:
HTTP/1.0 200 OK
Content-Type: text/html
Server: Apache
root:fi3sED95ibqR6:0:1:System Operator:/:/bin/ksh
daemon:*:1:1::/tmp:
phpconf:f8fk3j1OIf31.:182:100:Developer:/home/users/phpconf/:/bin/csh
A repetição dos caracteres ../ apos /home/users/phpconf/templates fez com que a função include() fizesse o include do arquivo /etc/passwd.
Como proteger sua aplicação.
• Preferivelmente trabalhe sem utilizar inputs de usuários na aplicação quando você utilizar file system calls
• Use chroot Jail e políticas de code Access para restringir onde os arquivos podem ser obtidos ou salvos em sua aplicação
• Sanitize todas as variáveis que sua aplicação utiliza impedindo assim que caracteres de escape maliciosos sejam indexados e processados
8 de Setembro de 2009 às 11:53
TrustSign