Tag Archive: Security


A Kaspersky Lab publicou um relatório sobre um APT (Advanced Persistent Threat) baptizado de Darkhotel, activo desde 2007 e adoptado por um grupo de hackers que, aproveitando-se da infraestrura de rede wireless de hotéis de luxo na região da Ásia e Pacífico, têm como alvos primários CEOs, vice-presidentes, directores de vendas e marketing e pessoal sénior de Pesquisa e Desenvolvimento de distintas empresas que deslocam-se com frequência para esta área do globo.

Segundo o relatório detalhado, e respectivo apêndice técnico, para a concretização do processo de infecção das máquinas, o grupo faz-se munido de diversos recursos dentre os quais a prévia informação sobre o itinerário do alvo, exploits 0-days para produtos Adobe e Microsoft Internet Explorer disseminados por spear-phishings, ficheiros maliciosos em redes P2P, iframes infectados nos websites dos hotéis e o uso fraudulento de Certificados Digitais permitindo a assinatura de aplicações maliciosas (keyloggers, downloaders, trojan, etc) com a consequente instalação sem detecção por parte dos controlos de segurança.

Entre várias análises especulativas sobre a real intenção dos malfeitores, envolvendo até teorias de ataque patrocinado por estados, o importante nesta altura é a reavaliação dos riscos envolvidos tendo em conta o contexto em que se enquadra a sua organização e reagir em conformidade para a eliminação, mitigação ou aceitação dos mesmos.

Mas antes de partir para um exercício exaustivo, pequenas recomendações como as  que deixo a seguir poderão ser transmitidas e adoptadas entre os colaboradores sempre que haja a necessidade de realização de viagens de serviço,  servindo como um ponto de partida para a prevenção à ataques deste género.

  • Comunique à Área de Segurança, ou à quem possua responsabilidades similares, pois poderão existir um conjunto de recursos e directrizes que irão ajudá-lo na preparação da viagem;
  • Certifique-se que os dispositivos (computadores, telemóveis, tablets, etc.) que leva consigo estão seguros, contendo as últimas actualizações do sistema e dos controlos de segurança (antivírus, firewall, etc.);
  • Assegure-se que qualquer comunicação via Internet durante a viagem seja encriptada (cifrada). Poderá ser-lhe atribuído um acesso VPN para consulta de e-mails ou visita à websites;
  • Tenha a certeza que você, a sua família ou amigos não publicam os seus planos de viagem nas redes sociais ou em fóruns públicos;
  • Desabilite a geo-localização nos seus dispositivos móveis para que a sua localização não seja rastreada ou publicada de forma inadvertida;
  • Obtenha os nomes e contactos das pessoas de confiança no país em que estiver a visitar para casos de emergência;
  • Finalmente, após o seu regresso, será conveniente contactar a Equipa de Segurança para um Balanço da Viagem e uma Verificação de Segurança nos Equipamentos utilizados.

Open Web Application Security Project (OWASP) é uma comunidade aberta dedicada a capacitar as organizações para conceberem, desenvolverem, adquirirem, operarem e manterem aplicações confiáveis.

A comunidade OWASP inclui corporações, organizações educacionais e indivíduos de todo o mundo que trabalham na criação de artigos, metodologias, documentação, ferramentas e tecnologias disponíveis de forma livre e aberta.

Nesta senda, o OWASP Top Ten Project produz anualmente o  OWASP Top Ten, um documento onde são descritas as vulnerabilidades mais críticas identificadas com frequência nas aplicações web, orientando-nos como encontrá-las e o que fazer para protegermo-nos delas.

No Top 10 de 2010 foram contempladas as seguintes ameaças:

1 – Injecção

As falhas de injecção, tais como injecção de SQL, de S.O. e de LDAP, ocorrem quando dados não confiáveis são enviados para um interpretador como parte de um comando ou consulta. Os dados do ataque hostil pode iludir o interpretador para que este possa executar comandos não desejáveis ou aceder a dados não autorizados.

2 – Cross Site Scripting (XSS)

As falhas XSS ocorrem sempre quando uma aplicação recebe dados não confiáveis e os envia para um navegador Web sem que os tenha validado ou …filtrado convenientemente. O XSS permite aos atacantes a execução de scripts no navegador da vítima que podem ser usados para sequestrar informações da sessão do utilizador, alterar sítios de Web de forma perniciosa ou redireccionar o utilizador para sítios maliciosos.

3 – Quebra da Autenticação e da Gestão de Sessões

 As funções de uma aplicação relacionadas com autenticação e gestão de sessões são muitas vezes implementadas de forma incorrecta, permitindo aos atacantes o  de senhas, chaves, identificadores de sessão ou, ainda, explorar outras de implementação para assumirem a identidade de outro utilizador.

4 – Referência Insegura e Directa a Objectos

Uma referência directa a um objecto ocorre quando um programador expõe uma referência para um objecto interno da implementação, como um …ficheiro, uma directoria ou chave de uma base de dados. Sem uma verificação de controlo de acesso ou outra protecção semelhante, os atacantes podem manipular estas referência para acederem a informação não autorizada.

5 – Cross Site Request Forgery (CSRF)

 Um ataque CSRF força o navegador de uma vítima que tenha uma sessão activa a enviar um pedido HTTP forjado, o cookie da sessão bem como outras da sessão como informação de autenticação para uma aplicação Web. Esta falha permite ao atacante forçar o navegador da vítima gerar requisições que a aplicação vulnerável aceite como pedidos legítimos oriundos da vítima.

6 – Configuração Incorrecta de Segurança

A segurança depende também da existência de configurações seguras específicas definidas e usadas na aplicação, frameworks, servidor aplicacional, servidor de Web. Todas estas configurações devem ser definidas, implementadas e mantidas por que muitas vezes elas não vêm aplicadas directamente do fornecedor das mesmas. Isto inclui igualmente possuir todo o software actualizado, incluindo todas as bibliotecas de código usadas pela aplicação.

7 – Armazenamento Criptográfico Inseguro

Muitas aplicações Web não protegem devidamente dados sensíveis, tais como cartões de créditos, SSNs e credenciais de autenticação com algoritmos de cifra ou de resumo. Os atacantes podem roubar ou modificar estes dados, protegidos de forma deficiente, para realizar roubos de identidade, fraude com cartões de crédito ou outros crimes.

8 – Falha na Restrição de Acesso a URL

Muitas aplicações Web verificam os direitos de acesso a uma URL antes de mostrarem ligações e botões protegidos. No entanto, as aplicações devem realizar verificações de controlos de acesso semelhantes de cada vez que estas páginas são acedidas, caso contrário, os atacantes podem forjar URLs e aceder a estas páginas escondidas, sem qualquer controlo.

9 – Insuficiente Protecção ao Nível do Transporte

As aplicações falham frequentemente na autenticação, cifra, e protecção da confidencialidade e integridade do tráfego de rede sensível. Quando o fazem, fazem-no muitas vezes com recurso a algoritmos fracos, usam certificados inválidos ou expirados, ou não os usam correctamente.

10 – Redireccionamentos e Encaminhamentos Inválidos

As aplicações Web redireccionam e encaminham frequentemente utilizadores para outras páginas e sítios de Web, e usam dados não confiáveis para determinar  as páginas de destino. Sem uma validação adequada, os atacantes podem redireccionar as vítimas para sítios de phishing ou de malware, ou usar o encaminhamento para aceder a páginas não autorizadas.

Baixar o Documento Oficial