blog.rudymendes.com.br

A Divisão de Repressão aos Crimes de Alta Tecnologia ( DEPAT) da Polícia Civil do Distrito Federal lançou esta semana uma cartilha compilando dicas e orientações à população para ajudar a combater e orientar o cidadão sobre os crimes digitais mais corriqueiros. Apesar do lançamento ter sido anunciado pela mídia logo nas primeiras horas do dia, o site da instituição disponibiliza o banner, que infelizmente ainda não efetua ação alguma. Segundo Chefe da DEPAT, a informação estará disponível definitivamente no final do dia.

Para conferir o acesse : http://www.pcdf.df.gov.br/

Comitê Gestor da Internet no Brasil (cgi.br) em conjunto com o Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil (cert.br), disponibiliza em sua página uma Cartilha de Segurança para Internet, se você tem dúvidas sobre como se proteger uma breve lida pode ajudar. Lembre-se, segurança em primeiro lugar!!!

No documento em questão, são abordadas as fraudes mais comuns e orienta inclusive, como verificar uma conexão criptografada, como saber se está acessando um site realmente verdadeiro e até como recorrer no caso de utilização de seus dados por terceiros.

Por mais que, nós desenvolvedores, tomemos o máximo de cuidado possível no desenvolvimento de nossos aplicativos, jamais poderemos sanar todos os aspectos de segurança, uma vez que, o usuário muitas vezes é hoje o principal foco do ataque, somente a informação e a propagação da mesma poderá surtir algum efeito realmente satisfatório.

Uma boa leitura a todos e obrigado.

Olá pessoal, participei esta semana de um mini-curso sobre Técnicas de Segurança no Desenvolvimento de Sistemas JAVA. Apesar do foco principal ter sido a linguagem JAVA, sabemos que muitos dos conceitos de segurança para WEB, servem para as demais tecnologias, porquê não? Foi então que decidi abrir este espaço afim de contribuir com a comunidade. Vamos lá.

Bom, o curso começou com uma abordagem sobre a entidade O.W.A.S.P. ( Open Web Application Security Project ) como uma iniciativa aberta para tratar de aspectos de segurança em aplicações WEB. Congrega especialistas voluntários, edita documentos , promove o desenvolvimento de ferramentas como foco direcionado para esta questão, dentre outras. No site da entidade é possível acompanhar a Top Ten das dez vulnerabilidades mais comuns e mais sérias. Veja a lista aqui (em inglês).

Segue baixo minha review sobre os ítens da lista de vulnerabilidades

• Cross Site Scripting - XSS
  Esta vulnerabilidade permite que o atacante insira scripts maliciosos em sua página, conteúdo hostil e até mesmo controle seu navegador.
   
• Falhas de Injeção
  Permite que o atacante insira códigos SQL, LDAP, HTML, XSTL, XML ou comandos nativos do interpretador de comandos do servidor. O caso mais comum é a inserção de conteúdo inapropriado, roubo de dados e até exclusão dos registros.
   
• Execução Maliciosa de Arquivo
  Como o título descreve, permite que o atacante execute conteúdos externos ao código da sua aplicação, esta é mais comum em linguagens interpretadas.
   
• Referência Direta ao Objeto
  O atacante manipula referências e burla controles de acesso, como por exemplo, um aplicativo que utilize CPF na URL para identificar o usuário. Assim, ele acessa os dados de outros CPFs facilmente.
   
• Cross Site Request Forgery - XSRF
  Permite login na aplicação alvo após o roubo de sessão, leva o usuário ao site do atacante e onde são rodados scripts maliciosos para controle futuro da sessão deste usuário nos demais sites.
   
• Vazamento de Informações e Tratamento de Erros Inapropriado
  Permite que o atacante veja em sua maioria informações de erros que comprometem e expõe a versão das tecnologias utilizadas, tabelas de banco de dados e informações de servidores.
   
• Furo de Autenticação e Gerência de Sessão
  Falha nas informações de credenciais, e falha de proteção de identidades de sessão.
   
• Armazenamento Criptográfico Inseguro
  Acontece quando opta-se principalmente por uso e implementação de script criptográficos caseiros, o que permite a descoberta destas chaves criptográficas deixando assim o sistema pronto para o ataque.
   
• Comunicações Inseguras
  Esta vulnerabiliade expõe o trafego de informações da aplicação, principalmente entre o navegador do cliente e o servidor, recomenda-se o uso de SSL, ou ao menos, sempre re-autenticar o usuário antes de transmitir algum dado sigiloso.
   
• Restrições de Acesso a URLS
  Esta vulnerabilidade permite que o atacante mapeie as informações das páginas internas e force o acesso em páginas que só um usuário autenticado deveria acessar.
   

Após expor as principais falhas , fomos pontualmente vendo a causa e a solução dos problemas mais corriqueiros. Vimos também, várias ferramentas para realização de testes, muitos deles simulando as reais situações do uso das aplicações varreduras de código e etc. Seguirá abaixo agora uma lista das mesmas, e algumas referências sobre o assunto também obtidas no curso.

Ferramentas para teste de vulnerabilidade WEB:

FindBubs - Verifica o código estaticamente e integra com o Eclipse.

LAPSE - Só funciona no Eclipse e para sistemas WEB, faz uma verificação da validação dos campos.

Paros Proxy - Scaneia vulnerabilidades mais comuns e pode-se usar como proxy, não verifica o seu código

Referências para uma boa leitura sobre o assunto:

Site / Blog do Instrutor Lucas de Carvalho Ferreira - http://java.sapao.net/
Site O.W.A.S.P. - http://www.owasp.org/

É isso ai pessoal, espero ter ajudado ou ao menos contribuído com a comunidade.