É assim que muitas empresas vêem a segurança na internet hoje, algumas realmente se preocupam, outras nem tanto, outras ainda nem um pouco, mas será que isso importa?
Segurança no comércio eletrônico hoje é um item fundamental a todos, empresas, mercado e consumidores. Estamos passando por uma fase onde muito se fala de segurança, mas poucos discutem seu aspecto real ou sabem o que realmente é segurança e a importância dela para todos. Ter segurança em um website não é simplesmente apresentar um certificado digital com a mensagem SITE SEGURO, o que por si só já está errado, visto que certificados digitais garantem a AUTENTICIDADE e a CRIPTOGRAFIA DE DADOS em áreas restritas do site, nada mais.
Imaginemos os cenários abaixo:
1 – O site que possui um certificado digital, mas está hospedado em um servidor vulnerável a ataques, logo o site não é seguro. Aqui a primeira preocupação: das empresas.
2 – Se a empresa não se preocupa com a segurança de seu website, muito possivelmente não se preocupa com a segurança dos dados de seus clientes. Aqui temos uma segunda preocupação: a dos clientes.
3 – Se o ambiente está vulnerável, assim como muitos fatos já ocorridos, existe a possibilidade do vazamento de informações, o que pode expor dados da empresa e de seus clientes. Aqui outra preocupação: a das empresas, clientes e mercado.
Todos sabem o quão é difícil fortalecer uma marca e fazer com que ela seja reconhecida no mercado, assim como o fato de que informações devem ser classificadas e tratadas adequadamente. Então porque não se preocupar com a segurança?
Segundo a eBit, empresa especializada em informações de e-commerce, o comércio eletrônico em 2009 movimentou R$10,6 bilhões, um crescimento de 30% ante os R$8,2 bilhões de 2008 e a tendência é continuar crescendo, da mesma forma que as ameaças virtuais, e junto delas o número de fraudes. Certamente a segurança será um dos fatores que distinguirá as lojas de comércio eletrônico perante os consumidores.
Não conheço ninguém que gostaria de ter seus dados pessoais e bancários nas mãos de fraudadores, então porque eu faria uma compra em um lugar de origem ou ações duvidosas que permitem em maior nível a exposição de meus dados?
A fase em que consumidores vêem um selo de certificado digital em um site e se sentem seguros está passando. Consumidores passam a exigir mais garantias, a preocupação torna-se maior e isso acarreta em um novo e promissor cenário: o de oferecer aos consumidores algo além da qualidade, garantia de entrega e melhores preços. A garantia de seu direito à privacidade.
25 de Maio de 2010 às 16:46
TrustSign
O ataque HTTP Request Smuggling explora uma análise incompleta dos dados apresentados feito por um sistema intermediário HTTP trabalhando como um proxy. HTTP Request Smuggling consiste no envio de uma solicitação HTTP especialmente formatada que será analisada de forma diferente pelo sistema de proxy e pelo sistema final, então o atacante poderia roubar uma solicitação para um sistema sem o outro estar ciente disto. Este ataque faz com que seja possível explorar outros ataques, como cache poisoning, session hijacking, Cross-site Scripting (XSS) e, sobretudo, a capacidade de burlar a proteção de firewall de aplicações web.
Para explorar o HTTP Request Smuggling, algumas condições específicas devem existir, tais como a presença do sistema de proxy específico e versão, como SunOne Proxy 3.6 (SP4) ou beta FW-1/FP4-R55W ou uma vulnerabilidade de XSS no servidor web.
Basicamente o ataque consiste em enviar uma solicitação HTTP que encapsula uma segunda solicitação HTTP no mesmo cabeçalho, como mostrado abaixo:
GET /some_page.jsp?param1=value1¶m2=
Content-Type: application/x-www-form-
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Neste caso, o primeiro cabeçalho HTTP é analisado pelo sistema de proxy, e o segundo pelo sistema final, permitindo ao invasor burlar as regras de acesso do proxy.
Exemplo:
Request Credential Hijacking
Outra area de interesse é a habilidade do atacante forçar a execução de um script (/some_page.jsp) com as credenciais de um cliente. Esse ataque é similar aos efeitos do ataque de Cross-site Request Forgery, mas este é mais eficiente pois o atacantes não é obrigado a interagir com o cliente (vítima). O ataque ocorre como abaixo:
POST /some_script.jsp HTTP/1.0
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 9
Content-Length: 142
this=thatGET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar:
Quando o cliente envia uma requisição, como:
GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Tomcat irá colocar esta requisição na fila de incompletes, e juntos, terão:
GET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Agora com uma requisição completa, ele irá chamar o script /some_page.jsp e retornar seus resultados ao cliente. Se este script é um pedido de alteração de senha, ou uma transferência de dinheiro para a conta do atacante, então isso pode incorrer em danos potencialmente graves para o cliente.
5 de Maio de 2010 às 14:25
TrustSign