*Marisa Viana
Os golpes virtuais se tornaram uma constante realidade em todo o mundo. Estima-se que os ataques online causem um prejuízo de cerca de US$ 10 bilhões por ano, formando assim uma verdadeira indústria criminosa que se esconde por trás de uma tela de computador. Para realizar os crimes, os cibercriminosos inovam todos os dias.
Desta vez a novidade está nos chamados phishing, aqueles e-mails maliciosos de falsas propagandas que todos os dias chegam às caixas de correio eletrônico. Ao clicar no link da mensagem, o usuário permite a instalação de um malware em sua máquina, um tipo de vírus que tem o objetivo de enviar para um e-mail do golpista todas as informações digitadas no computador, incluindo senhas de banco e dados pessoais.
No entanto, essa forma de ataque já é conhecida pelos antivírus, tanto que muitos softwares de proteção conseguem evitar esse tipo de golpe. Diante disso, os atacantes inovaram na metodologia da prática criminosa. Eles estão unindo esforços para invadir os servidores de empresas que oferecem vendas eletrônicas. O objetivo é criar um e-mail com o domínio oficial da empresa, garantindo a confiabilidade da mensagem.
Ao clicar no e-mail enviado pelos golpistas, o usuário permite que seu navegador seja rastreado em tempo real enquanto é direcionado automaticamente para um arquivo malicioso que, utilizando-se de vulnerabilidades existentes no navegador, faz o download e em seguida a execução de um pequeno agente que modifica a configuração padrão do navegador do usuário.
Feito isto, todo o tráfego acessado pelo usuário é direcionado através de um serviço chamado Proxy. O proxy funciona como um filtro de conteúdo web utilizado como mecanismo de proteção em redes corporativas, impedindo que funcionários acessem material inapropriado como sites pornográficos, chats entre outros. Porém este serviço pode ser utilizado também pelos criminosos para tirar proveito dos acessos válidos.
Navegação rastreada
Quando o usuário inicia a navegação, o tráfego é direcionado através do servidor proxy hospedado em algum servidor cujo atacante já tenha acessado anteriormente. A partir disso, o criminoso analisa os sites que o usuário procura na internet até detectar um domínio que esteja em sua lista, por exemplo www.bancoxy.com.br. O proxy passa então a direcionar o acesso do navegador para um espelhamento do site do banco que fica hospedado diretamente no servidor onde o proxy está sendo executado.
Em seguida, o navegador exibe ao usuário a tela clonada do site do banco, induzindo a pessoa a colocar seus dados bancários para consolidar o golpe. Esse tipo de ataque começa a ganhar espaço no Brasil, o que obriga empresas a reforçarem o sistema de segurança para preservar a informação do consumidor.
Mas cabe também ao usuário de internet se proteger, evitando a abertura de e-mails desconhecidos, bem como a execução de arquivos suspeitos. Somente dessa forma a navegação estará livre do ataque dos cibercriminosos.
——————————-
*Marisa Viana é gerente comercial da TrustSign, empresa especializada em segurança da informação.
A consolidação do comércio eletrônico no mundo está ameaçada. Tudo por conta dos sucessivos prejuízos causados pelas fraudes cometidas no ambiente virtual, como mostrou um estudo recente divulgado pela empresa CyberSource, especializada em soluções de segurança. De acordo com o levantamento, o valor dos golpes em transações on-line gira em torno de US$ 10 bilhões ao ano, sendo que no mercado brasileiro o total supera US$ 500 milhões.
Esse resultado reforça a necessidade de haver uma conscientização maior por parte dos brasileiros na hora de realizar uma compra on-line. Para isso, é fundamental que o consumidor saiba identificar se um site é realmente verdadeiro, evitando assim dores de cabeça no futuro. A seguir, 10 dicas essenciais para o consumidor não cair nos golpes.
1. Tenha a certeza de que o site que você está é aquele que você digitou na barra de endereços do navegador, não clique em links.
2. Leia a política de privacidade, entrega e troca e devolução. Veja se você concorda com elas; se não concordar, não navegue no site.
3. Verifique antes de comprar se o site oferece dados de contato legítimos, entre eles CNPJ, telefone e e-mail corporativo (por exemplo, se a empresa chama-se XYZ, eles têm que fornecer um e-mail nome@XYZ.com.br e não xyz@yahoo, hotmail etc.). Caso a empresa não forneça o CNPJ e o domínio do site seja dominio.com.br é possível obter informações através do www.registro.br.
4. Faça pesquisas sobre o site e procure identificar pessoas que já compraram e estão dispostas a ajudar. Lembre-se: É muito fácil criar um e-mail falso e dizer que já comprou ou usou disso para qualificar a loja.
5. Pesquise no site da Receita Federal o CNPJ da empresa conferindo razão social, endereço, atividade da empresa, validade do CNPJ (situação cadastral) e data de abertura (data de abertura recente não significa que a empresa foi criada para fraudar, mas datas de aberturas próximas a datas especiais como fim de ano, por exemplo, devem chamar sua atenção).
6. Verifique os meios de pagamento disponíveis no site. Sites sérios geralmente apresentam transações com cartão de crédito (Visa, MasterCard e outras) além de boleto eletrônico e transferência eletrônica.
7. Ao efetuar a compra, antes de digitar seus dados pessoais e de pagamento tenha a certeza de que a área que você está é restrita e segura. Isso é possível identificando a barra de endereços do navegador utilizado que muda de http:// para https://. Isso aparecendo observe no lado direito inferior da tela a imagem de um cadeado de segurança, clique sobre ele duas vezes e será aberta uma tela, onde você deve conferir o nome da empresa (que deve ser o mesmo do website) e a validade do certificado (deve ser válido). Lembre-se: certificados de segurança não garantem que o site é seguro, mas sim que o site é autêntico.
8. Desconfie de empresas que oferecem atendimento exclusivamente por MSN e outros e que oferecem preços “milagrosos”.
9. Identifique se existem selos na página com descrições do tipo “site seguro”, “internet segura” e outros. Esses selos são muito fáceis de serem clonados. Uma forma fácil de saber se é um selo clonado é clicar sobre ele. Se nenhuma janela de validação aparecer, o selo pode ser clonado. Caso apareça a janela de validação, confirme as informações indo até o site que gerencia esse selo e verificando mais itens.
10. Esclareça todas as suas dúvidas diretamente com serviço de atendimento ao consumidor da empresa.
*Marisa Viana é gerente comercial da TrustSign, empresa especializada em segurança da informação.
O ataque HTTP Request Smuggling explora uma análise incompleta dos dados apresentados feito por um sistema intermediário HTTP trabalhando como um proxy. HTTP Request Smuggling consiste no envio de uma solicitação HTTP especialmente formatada que será analisada de forma diferente pelo sistema de proxy e pelo sistema final, então o atacante poderia roubar uma solicitação para um sistema sem o outro estar ciente disto. Este ataque faz com que seja possível explorar outros ataques, como cache poisoning, session hijacking, Cross-site Scripting (XSS) e, sobretudo, a capacidade de burlar a proteção de firewall de aplicações web.
Para explorar o HTTP Request Smuggling, algumas condições específicas devem existir, tais como a presença do sistema de proxy específico e versão, como SunOne Proxy 3.6 (SP4) ou beta FW-1/FP4-R55W ou uma vulnerabilidade de XSS no servidor web.
Basicamente o ataque consiste em enviar uma solicitação HTTP que encapsula uma segunda solicitação HTTP no mesmo cabeçalho, como mostrado abaixo:
GET /some_page.jsp?param1=value1¶m2=
Content-Type: application/x-www-form-
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Neste caso, o primeiro cabeçalho HTTP é analisado pelo sistema de proxy, e o segundo pelo sistema final, permitindo ao invasor burlar as regras de acesso do proxy.
Exemplo:
Request Credential Hijacking
Outra area de interesse é a habilidade do atacante forçar a execução de um script (/some_page.jsp) com as credenciais de um cliente. Esse ataque é similar aos efeitos do ataque de Cross-site Request Forgery, mas este é mais eficiente pois o atacantes não é obrigado a interagir com o cliente (vítima). O ataque ocorre como abaixo:
POST /some_script.jsp HTTP/1.0
Connection: Keep-Alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 9
Content-Length: 142
this=thatGET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar:
Quando o cliente envia uma requisição, como:
GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Tomcat irá colocar esta requisição na fila de incompletes, e juntos, terão:
GET /some_page.jsp?param1=value1¶m2=value2 HTTP/1.0
Content-Type: application/x-www-form-urlencoded
Content-Length: 0
Foobar: GET /mypage.jsp HTTP/1.0
Cookie: my_id=1234567
Authorization: Basic ugwerwguwygruwy
Agora com uma requisição completa, ele irá chamar o script /some_page.jsp e retornar seus resultados ao cliente. Se este script é um pedido de alteração de senha, ou uma transferência de dinheiro para a conta do atacante, então isso pode incorrer em danos potencialmente graves para o cliente.
O ataque de manipulação de parametros, chamado também de Parameter Tampering é baseado na manipulação de parametros trocados entre o browser e o servidor com a finalidade de modificar os dados da aplicação, como por exemplo, credenciais de usuários e permissões, preços ou quantidade de produtos, etc. Usualmente, este tipo de informação é armazenada em cookies, campos escondidos nos forms ou em URL query strings e são utilizados para permitir que a aplicação tenha mais funcionalidades e controles.
Este tipo de ataque pode ser utilizado por usuários maliciosos que querem exploitar uma aplicação para seu próprio beneficio, ou então utilizar uma segunda técnica chamada Man-in-the-Middle para prejudicar terceiros. Em ambos os casos, ferramentas como Webscarab, Paros Proxy e BurpSuit são as mais utilizadas.
O sucesso no ataque depende diretamente da lógica utilizada na validação dos mecanismos de erro, e esse tipo de ataque pode resultar em outras consequencias como por exemplo XSS (cross-site scripting), SQL Injections, file inclusions and outras vulnerabilidades, como path disclosure attacks.
Exemplo
Quando uma aplicação utilize campos escondidos para armazenar por exemplo, o valor de algum produto, um atacante pode fazer a modificação do valor da variável, capturando-a quando o browser envia a solicitação para o servidor, e modificando seu valor durante esse trajeto. Por exemplo, um site de e-Commerce que usa campos escondidos para referencia de produtos como o seguinte:
Neste exemplo o atacante pode modificar o valor da variável “value” e diminuir o preço do produto que está comprando.
Existem alguns plugins para o browser Firefox que podem ser utilizados para efetuar o ataque de Data Tampering. Um deles e mais conhecido é o Tamper Data.
Tamper Data.
O Tamper data pode ser instalado no firefox sendo baixado diretamente do repositório oficial de addons. Basicamente o Tamper data intercepta todas as requisições que são feitas pelo browser e exibe para que você faça a modificação dos dados que estão sendo enviados, permitindo assim que esse tipo de falha seja explorada de maneira muito simples.
Tamper data
Tamper data perguntando se o usuário deseja modificar os dados antes de envia-los.
Nosso objetivo nesse tópico é fornecer informações a todos sobre como se resguardar e evitar dessa forma o risco de cair em “armadilhas virtuais”.
CONHEÇA O WEBSITE
1. Tenha a certeza de que o site que você está é aquele que você digitou na barra de endereços do navegador, não clique em links.
2. Leia a política de privacidade, entrega e troca e devolução, e veja se você concorda com elas; se não concordar, não navegue no site.
3. Verifique antes de comprar se o site oferece dados de contato legítimos, entre eles CNPJ, telefone e e-mail corporativo (por exemplo, se a empresa chama-se XYZ, eles têm que fornecer um e-mail nome@XYZ.com.br e não xyz@yahoo, hotmail, etc). Caso a empresa não forneça o CNPJ e o domínio do site seja dominio.com.br vocês podem obter informações através do www.registro.br – whois, onde vocês encontrarão a data em que o site foi registrado, proprietário, CNPJ e outros dados.
4. Faça pesquisas sobre o site e procure identificar pessoas que já compraram e estão dispostas a ajudar. Lembre-se, é muito fácil criar um e-mail falso e dizer que já comprou ou usar disso para qualificar a loja.
5. Pesquise no site da Receita Federal (www.receita.fazenda.gov.br) o CNPJ da empresa conferindo razão social, endereço, atividade da empresa, validade do CNPJ (situação cadastral) e data de abertura (data de abertura recente não significa que a empresa foi criada para fraudar, mas datas de abertura próximas a datas especiais como fim de ano, por exemplo, devem chamar sua atenção).
6. Verifique os meios de pagamento disponíveis no site. Sites sérios geralmente apresentam transações com cartão de crédito (VISA, MASTER e OUTRAS) além de boleto eletrônico e transferência eletrônica.
7. Ao efetuar a compra, antes de digitar seus dados pessoais e de pagamento tenha a certeza de que a área que você está é restrita e segura. Isso é possível identificando a barra de endereços do navegador utilizado que muda de “http://” para “HTTPS://. Isso aparecendo observe no lado direito inferior da tela a imagem de um cadeado de segurança, clique sobre ele duas vezes e será aberta uma tela, onde você deve conferir o nome da empresa (que deve ser o mesmo do website) e a validade do certificado (deve ser válido). Lembrem-se, certificados de segurança não garantem que o site é seguro, mas sim que o site é autêntico.
8. Desconfie de empresas que oferecem atendimento exclusivamente por MSN e outros e que oferecem preços “milagrosos”.
9. Identifique se existem selos na página com descrições do tipo “site seguro”, “internet segura” e outros. Esses selos são muito fáceis de serem clonados. Uma forma fácil de saber se é um selo clonado é clicar sobre ele. Se nenhuma janela de validação aparecer, o selo pode ser clonado. Caso apareça a janela de validação, confirme as informações indo até o site que gerencia esse selo e verificando mais itens.
10. Esclareça todas as suas dúvidas diretamente com serviço de atendimento ao consumidor da empresa.
11. Exija sua Nota Fiscal.
12. Lembre-se também que boa parte de sua segurança depende da correta utilização de seu PC.
ATRASOS CONSTANTES NAS ENTREGAS
1. Junte uma cópia dos documentos comprobatórios, elabore uma carta descritiva em duas vias, assine e envie para a empresa em questão.
2. Tome o cuidado de ter descrito na carta, de forma direta, todo o problema. Inclua dados sobre o pedido e informe que você aguardará pelo período de 48 hs para a solução do problema, e que caso isso não se concretize, você tomará as ações que lhe cabem para fazer valer seus direitos, e envie a empresa.
3. Após o envio da carta, não recebendo respostas no prazo estipulado (48hs após a confirmação de recebimento da reclamação formal), execute os passos descritos abaixo.
ESTOU SENDO LESADO
1. Junte os documentos comprobatórios e vá até uma delegacia de polícia, narrando os fatos a uma autoridade competente e fazendo um BO (Boletim de Ocorrência).
2. De posse do boletim de ocorrência, dirija-se a agência bancária que recebeu o crédito de sua compra e solicite os dados do detentor da conta.
3. De posse do BO, dos dados fornecidos pelo banco (caso o banco se negue a lhe dar tais informações, o juiz cuidará disso) e dos documentos que comprovam o ocorrido, dirija-se até o Procon e dê entrada em uma reclamação formal.
4. Após e de posse dos documentos acima citados, dirija-se ao juizado de pequenas causas e dê entrada em um processo contra a empresa para que seus direitos possam valer e você tenha a chance de recuperar o dinheiro perdido.
5. Utilize nosso Blog e demais meios de comunicação e divulgue o fato, apesar de para você infelizmente ser tarde, outras pessoas poderão ser ajudadas a não cair no mesmo golpe.
6. Apesar da sensação de impunidade, evite querer fazer justiça com as próprias mãos e visitar a empresa. Muitas dessas quadrilhas são especializadas e perigosas. Não há dinheiro que pague o preço de nossas vidas.
7. Evite fornecer a essas empresas endereços de sites que trocam informações sobre fraudes, pois isso permite que eles melhorem a cada dia os golpes praticados.
O PRODUTO É MUITO DIFERENTE DA FOTO DO SITE OU CHEGOU COM DEFEITO
1. O artigo 49 do Código de Defesa do Consumidor é válido para a internet.
2. Se a mercadoria chegou com defeito você deve contatar a empresa que lhe vendeu em menos de sete dias a contar da compra, a qual tem a obrigação de trocar por outra igual.
3. Caso a empresa não tenha um produto igual ou semelhante (mesmas características, qualidade e valor), essa é obrigada a devolver seu dinheiro integralmente (parágrafo único do código de defesa do consumidor).
4. Caso a empresa se negue a fazer a troca ou a devolução do valor pago, você deve juntar os documentos comprobatórios e dar entrada no juizado de pequenas causas de sua região para que o juiz defira pelos seus direitos.
A LOJA FRAUDADORA TEM MEUS DADOS PESSOAIS E DE CARTÃO
1. Se você já fez um boletim de ocorrência, dirija-se novamente a delegacia e solicite a autoridade competente um novo boletim de ocorrência de resguardo de direitos e integridade moral.
2. Caso você ainda tenha que fazer o BO, aproveite e solicite isso ao delegado. Esse tipo de BO é válido para quando seus dados são usados indevidamente e seu nome é inscrito em cadastros de proteção ao crédito ou quando os dados são envolvidos em ações ilícitas.
Metagoofil é uma ferramenta para enumeração desenhada para extrair informações a partir do header de metadata de documentos públicos (pdf,doc,xls,ppt,odp,ods) disponíveis no site da rede alvo.
Após varrer o google a procura dos documentos específicados na command line ele irá gerar um html de saída com os resultados do metadata estraído, listando Potenciais Usernames que serão muito úteis para preparar um Brute-Force attack em serviços disponibilizados como por exemplo, pop3, ftp, web applications, vpn, etc. Além disto ele irá extrair também uma lista de PATHs que foram armazenados no Metada, com essa informação é possível o FingerPrint do sistema operacional alvo, nomes de redes, Shared Resources, etc.
Esta nova versão do metagoofil extrai também o MAC Address de documentos Microsoft Office. Agora você pode ter uma idéia do tipo de hardware que o OS alvo está utilizando.
Todas estas informações não deveriam estar disponíveis na internet, porém a grande maioria das empresas não tem políticas para Information Leaking (Vazamento de Informações), isso sem falar que dessa grande maioria, 90% nem sabe que este tipo de informação realmente existe . Com isto você pode mostrar a elas quanta informação um atacante pode obter com uma técnica muito simples.
Como Funciona?
1- Em primeiro lugar o Metagoofil irá procurar no google por documentos públicos sobre determinada empresa. Exemplo, arquivos .PDF (Abaixo segue a Query para Google Hacking).
2- Ele faz download de todos os documentos encontrados para o disco e extrai os Metadata de todos eles, aplicando um filtro para capturar somente as informações realmente interessantes.
3- Exemplo de resultados extraídos por uma sesão de Metagoofil:
Exemplo de lista de Paths disponíveis extraídos do Metadata pelo Metagoofil:
Portanto tenham cuidado com os documentos que você posta na internet, eles podem revelar muitas informações que podem ser utilizadas por atacantes e facilitar a vida deles
- Fornecendo usuários de sua rede,
- Fornecendo informações sobre os hosts que podem ser vítimas de ataque,
- Ajudando a colher dados durante o inicio de um ataque que podem ser utilizados para engenharia social.
De acordo com matéria publicada nesta última quarta-feira pelo portal IDGNOW, o presidente da corretora BroCo Investments, Valery Maltsev, entrou nas contas dos investidores depois de “hackear” seus nomes de usuários e senhas. Com essas informações, ele realizou transações não autorizadas e manipulou ações de 38 companhias presentes na Nasdaq e na bolsa de Nova York.
Dia 06 de novembro do ano passado postamos uma matéria sobre como elaborar senhas mais fortes para se proteger desse perigo que é cada vez mais constante em todo o mundo. A matéria sugeriu métodos para a escolha dos caracteres e ensinou como não esquecer da senha.
Veja um resumo:
Tomemos um exemplo, cadeados com segredos de 3 posições usados em maletas, malas, cabos de notebook e outros. Cada uma das posições vai de 0 a 9, o que nos dá 3 posições de 10 números cada, o que totaliza 1000 possibilidades, e se uma pessoa consegue testar 10 posições por minuto, em 1 hora e 40 minutos no máximo ela conseguirá abrir o cadeado. Da mesma forma ocorre com nossas senhas, quanto mais complexa for, mais difícil será de conseguir quebrá-la.
É importante lembrarmos que a complexidade é tão importante quanto o tamanho, já que computadores conseguem testar milhares de senhas por minuto, então segue UMA dica muito útil e importante sobre como fazer uma senha complexa e forte de forma fácil:
Sempre misture letras maiúsculas e minúsculas, números e caracteres especiais de preferência com mais de 14 dígitos.
E como fazer isso de forma a não esquecer a senha?
Crie frases, preferencialmente sem sentido, ou associadas a algo de sua vida.
Exemplo:
- Eu nasci dia 23 e tenho 23 anos
Traduzindo isso em uma senha teremos End23et@#A
Adotamos a primeira letra de cada palavra, sendo a primeira e última da senha em maiúsculo, os dois primeiros números foram usados sem alteração e os dois últimos foram usados com a tecla shift, o que os transformou em caracteres especiais.
E agora, o que não fazer:
Não use variações do login de rede, nomes e sobrenomes, apelidos, palavras de dicionário, nomes de animais, telefones, nomes de rua, números de casas, apenas números, apenas letras, datas ou combinações de datas, seqüencias de teclado, senhas mencionadas em livros e filmes, e claro em Blogs, e o mais importante sobre o que nunca fazer, NUNCA COMPARTILHE SENHAS!
Fonte: IDGNOW, março de 2010: http://idgnow.uol.com.br/
O Cross-Frame Scripting (XFS) é um ataque client-side variante do ja famoso Cross-Site Scripting (XSS). Em um ataque de XFS, o atacante explora um determinado cross-frame-scripting bug em um browser para acessar através dele dados privados em um web-site secundário. O atacante induz o browser do usuário à navegar para a página que o atacante controla; o atacante pode carregar uma página secundária em um frame HTML; executando um javascript o atacante pode conseguir dados de websites carregados em um frame secundário.
Principais Fatores de Risco
Os modelos de segurança padrão em browsers permitem que javascripts de uma determinada página possa acessar o conteúdo de outras páginas que sejam carregadas em diferentes janelas do browser ou frames – desde que as outras páginas tenham sido carregadas a partir da mesma origem. Entretanto, um bug específico neste modelo de segurança existe em browsers específicos, permitindo assim que um atacante acesse dados carregados a partir de páginas carregadas de origens/domínios diferentes.
O browser mais conhecido por conter este tipo de bug é o IE (internet explorer), que permite vazamento de keyboard events através de HTML framesets. Este bug pode permitir, por exemplo, que um atacante roube dados de login que o usuário está digitando em um determinado site carregador a partir do Frame-set malicioso.
Exemplos: XFS Attack em um Internet Explorer
Para conseguirmos explorar o bug no IE que permite que os Keyboard Events sejam roubados a partir de um frameset, um atacante deve criar uma página e hospedá-la em um servidor qualquer, em nosso exemplo ela estará hospedada em badsite.com. Esta página será controlada pelo atacante, e deverá incluir por exemplo um frame mostrando uma página de login do site goodsite.com.
O atacante pode esconder as bordas do frame e expandir o frame para cobrir a pagina toda, desta forma o usuário irá realmente acreditar que está acessando goodsite.com. O atacante registra alguns javascripts no index de badsite.com que irá obter todos os key events na página. Normalmente estes listeners serão notificados apenas pelos key events da janela principal do site badsite.com – mas devido o bug existente no browser, este listener irá receber todos os key events existentes no frame carregado com o login do goodsite.com.
Desta forma todas as teclas pressionadas no browser, dentro deste frame do goodsite.com, enquanto ele tenta logar-se, poderá ser capturada e depois enviada para badsite.com
Abaixo vamos ver um código que possibilita este ataque na prática.
Foi-se o tempo em que um website era apenas um website. Devemos tomar o cuidado ao acessar sites desconhecidos, links recebidos por e-mail e etc. Um atacante pode tentar fazer um phishing scam utilizando uma técnica como esta, tentando ludibriar você e enviando falsos domínios como por exemplo:
www.bradseco.com.br
www.ltau.com.br
Veja que trocando o i por l na url do banco Itaú fica dificil perceber a diferença a primeira vista. Sendo assim muito cuiado com e-mails, links que acessa e com suas informações de login e senha que podem ser capturadas desta forma.
O ataque de Brute-force sempre foi muito comum em serviços disponibilizados remotamente tais quais, FTP, SMTP, POP e outros. Em geral, este ataque por si só não apresenta um risco muito grave, porém pode ser utilizado como vetor para ataques mais complexos que podem explorar falhas na infra-estrutura, desde políticas de permissões fracas ou mal configuradas, política de senhas ineficientes ou inexistentes, e outras.
Durante este tipo de ataque, o atacante tenta transpor mecanismos de segurança, por exemplo, sistemas de autenticação, proteção de diretórios por senha, etc, tendo como base um mínimo conhecimento sobre o alvo.
Existem basicamente 2 métodos que podem ser empregados neste tipo de ataque, o ataque de dicionário e o de força-bruta.
Dicionário: O atacante utiliza um catalogo pré-formatado onde são utilizadas strings que contém possíveis resultados, e que em geral utilizam senhas padrão comumente utilizadas assim como nomes de pastas, etc. Em geral este tipo de ataque tende a ser direcionado.
Força-Bruta: O atacante utiliza classes de caracteres, por exemplo, alfanumérica, caracteres especiais, case sensitive e etc. Neste caso específico este tipo de método demanda muito tempo e seu percentual de aproveitamento é muito baixo, assim como gera muito “alarde” durante o ataque fazendo com que possíveis mecanismos de segurança, como IDS, IPS e outros sejam acionados.
Em sua grande maioria os ataques de brute-force são utilizados objetivando conseguir senhas de usuários para controle de acesso de aplicações e sistemas. Entretanto, existem diversas ferramentas que utilizam esta técnica para examinar web services, procurar pastas contendo arquivos que possam conter senhas de banco de dados, assim como testar como a aplicação se comporta utilizando diferentes data forms (GET/POST), e ainda identificar session-IDs de usuários.
Especialmente em aplicações web o ataque de brute-force pode ser utilizado para:
- Conseguir cookies de acesso a sessões de usuários;
- Usuários e senhas de diretórios protegidos;
- SessionID de aplicações;
- Arquivos de include contendo dados sensíveis como senhas de banco de dados entre outras.
Veremos abaixo alguns exemplos de ferramentas que podem ajudar durante o teste de aplicações web e descobrir se estamos vulneraveis a este tipo de ataque.
Para testes em serviços web existem 2 ferramentas interesssantes:
A ferramenta dirb consiste em uma ferramenta com opções mais avançadas e pode ser utilizada para:
- setar diferentes cookies
- adicionar qualquer tipo de HTTP header desejado
- utilizar proxys para mascarar a conexão
- Utilizar catalogos ou arquivos utilizando dicionários definidos ou templates fazendo uma varredura direcionada.
No output da ferramenta somos informados que a pasta phpmyadmin/ foi encontrada. Um atacante poderia agora efetuar um ataque direcionado para a aplicação PHPMyAdmin, como por exemplo tentar senhas de acesso default ou utilizar exploits para a versão em uso do PHPmyAdmin.
Um dos maiores problemas com ferramentas como o dirb é reconhecer se a mensagem de retorno do servidor é a esperada ou não. Em casos onde o servidor tem configurações avançadas (exemplo utilizando mod_rewrite) ferramentas automaticas não conseguem distinguir uma mensagem de resposta do servidor sobre um determinado erro ao acessar uma pasta ou arquivo.
A aplicação WebRoot.pl escrita pelo CIRT.DK, tem mecanismos embutidos para trabalhar as respostas do servidor, e baseado na frase especificada pelo atacante, consegue identificar se a resposta do servidor é a esperada ou não.
oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00
o Webserver Bruteforcing 1.8 o
0 ************* !!! WARNING !!! ************ 0
0 ******* FOR PENETRATION USE ONLY ********* 0
0 ****************************************** 0
o (c)2007 by Dennis Rand - CIRT.DK o
oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00
[X] Checking for updates - NO CHECK
[X] Checking for False Positive Scan - OK
[X] Using Incremental - OK
[X] Starting Scan - OK
GET /private/b HTTP/1.1
GET /private/z HTTP/1.1
[X] Scan complete - OK
[X] Total attempts - 26
[X] Sucessfull attempts - 1
oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00oo00
WebRoot.pl encontrou um arquivo /private/b no laboratorio.test, que contem a frase “senha: 123mudar”
Ferramentas para Identificar e proteger contra brute-forc e em aplicações Web.
Esta ferramenta detecta se seu servidor esta sendo scanniado por ferramentas de brute-force como WFuzz, Owasp DirBuster e scans e vulnerabilidades como Nessus, Nikto, Acunetix, etc. Ela pode ajudar a rapidamente identificar possíveis hosts utilizados por atacantes que ficam efetuando testes em sua aplicações para identificar brechas e possíveis falhas de segurança.
Acessei um site e vi um selo de ambiente seguro, compra 100% segura, então posso navegar e comprar o que eu quiser sem riscos, afinal o site é seguro… é isso mesmo?
Tudo depende do quanto você realmente quer evitar problemas e dores de cabeça. Existem dezenas de selos com a visualização ambiente seguro, mas se referem-se ao que exatamente?
Em sua grande maioria, referem-se a certificados digitais. E um certificado digital não deixa o site seguro, ele apenas garante sua AUTENTICIDADE e que as informações de seus visitantes, desde que estejam em uma página que começa por HTTPS e não HTTP, trafegarão criptografadas, ou de uma forma mais simples, completamente embaralhadas para que ninguém entenda o que trafega ali.
A falta de conhecimento é um dos principais fatores que levam usuários a ter uma ENORME dor de cabeça no mundo virtual. É importante sabermos que selos na web são uma das coisas mais fáceis de se clonar e daí a importância de termos conhecimentos básicos sobre o funcionamento dos websites, afinal é muito fácil ver um selo, fazer uma compra e depois reclamar do website.
Certamente quando saímos para comprar algo, grande parte das vezes escolhemos muito bem a loja, entramos, nos familiarizamos com o ambiente, com o vendedor e a partir daí decidimos pela compra, e esse hábito também deve ser usado na internet.
Existem dezenas de tipos de certificados, mas nem sempre eles são totalmente confiáveis ou seguros. Muitas empresas ao adquirirem certificados digitais optam apenas pelo valor, e não pela qualidade do produto adquirido ou pela expertise da empresa que o emite. Outras preferem copiar o selo de qualidade de uma grande empresa e disponibilizar no seu website sabendo que isso surtirá efeitos positivos. Ao vermos isso, somos novamente tranqüilizados uma vez que se tem o selo é porque o website é sério e semanas depois a seriedade da dor de cabeça ultrapassa limites.
O termo estar seguro é muito relativo. Devemos avaliar a autenticidade do website, sua idoneidade, sua segurança, o controle da privacidade, a seriedade no geral e vários outros ítens, afinal ninguém tem um pé de dinheiro em casa, até onde sabemos.
Então, se você quer comprar pela web atente-se a algumas dicas abaixo:
1) Se existe um selo, clique sobre ele e verifique as informações apresentadas, se ao clicar nada ocorre, desconfie!
2) Nunca abra o website através de cliques em endereços achados ou recebidos por e-mail, abra seu navegador e digite ali o nome do website.
3) Se você recebeu um endereço e quer clicar nele ok, porém antes de clicar pare o ponteiro do mouse sobre esse endereço e repare se no seu navegador (parte inferior geralmente) o endereço mostrado é o mesmo que apresenta na sua tela. Se não for, desconfie!
4) Você abre uma página para inserir seus dados pessoais ou de cartão e a página não começa com HTTPS? Desconfie!
5) Você abriu uma página HTTPS, porém antes que ela fosse exibida seu navegador apresenta uma mensagem informando que é aconselhável não continuar nesse site. Então, porque continuar?
6) Quer verificar a autenticidade de um certificado digital? Abra o site pelo endereço HTTPS, clique sobre o símbolo do cadeado e depois em “Ver certificado”. na nova janela aberta deve estar a validade do certificado e para quem foi emitido. Note bem que ele deve ter sido emitido para o website que você está visitando, se não for ou se a data estiver inconsistente, desconfie!
E finalmente, se você realmente entender um pouco mais, pesquise, opine, faça perguntas, leia mais sobre o assunto. Certamente você tem muito a ganhar, e as empresas sérias também.
. Com isto você pode mostrar a elas quanta informação um atacante pode obter com uma técnica muito simples.
