Aplicativos Android têm sérias vulnerabilidades SSL, dizem pesquisadores Uma equipe de pesquisadores de duas universidades alemãs lançou um estudo afirmando que muitos dos aplicativos gratuitos mais populares disponíveis na loja do Google Play podem ser vulneráveis a ataques man-in-the-middle (MitM) ameaçando seriamente a privacidade do usuário. Um ataque man-in-the-middle é aquele em que um intermediário intercepta a comunicação entre dois sistemas, como entre um PC e usuário. Os pesquisadores, das universidades de Hannover e Marburg, estudaram os 13,5 mil aplicativos gratuitos mais populares da loja online, com o intuito de encontrar vulnerabilidades SSL ( Secure Socket Layer, protocolo de certificação) e TSL ( Transport Layer Security, ou segurança nas camadas de transporte, em tradução livre). Eles descobriram que 1 074 das aplicações contém códigos específicos SSL que, ou aceita todos os certificados, ou todos os nomes de host de um certificado e, portanto, são potencialmente vulneráveis a ataques MiTM, segundo um resumo publicado online. Além disso, os cientistas realizaram uma análise manual detalhada em 100 aplicativos em busca de potenciais problemas de segurança. Com isso, descobriram que 41 aplicações eram abertas a ataques man-in-the-middle, por conta de vulnerabilidades no SSL. Eles disseram que os apps vulneráveis poderiam ser explorados, permitindo que um invasor roubasse nomes de usuários e senhas,
informações altamente sigilosas do Facebook, WordPress, Twitter, Google, Yahoo e até mesmo de contas de internet banking, entre outras. Vulnerabilidades semelhantes, a equipe acrescentou, poderiam ser usadas para manipular o software antivírus do telefone, alterando definições para incluir aplicativos autorizados ou garantir que os maliciosos sejam ignorados. A base cumulativa instalada de aplicativos vulneráveis a ataques MiTM confirmados se situa entre 39,5 milhões e 185 milhões de usuários, de acordo o Google Play. Na verdade, a loja não informa o número exato de instalações e exibe um intervalo, em vez disso. O número real provavelmente é maior, já que os mercados alternativos de apps para Android também contribuem para a base instalada, escreveram os pesquisadores. Fonte: IDG Now! Especialistas listam vulnerabilidades mais comuns em testes de redes Interfaces de gerenciamento e dispositivos de redes, entre outros, tornam mais fácil entrada de invasores, mostram testes de penetração Manchetes de redes invadidas e campanhas de ataques levam empresas a se perguntar como os invasores conseguem entrar e sair tão facilmente. Quais os erros comuns em tantas empresas
diferentes que estão sendo atacadas? Quais são as maiores vulnerabilidades exploradas? Questionamos vários profissionais em testes de penetração (método que avalia a segurança de um sistema ou rede, simulando um ataque de uma fonte maliciosa; N. da. T) alguns trabalhando em universidades e ambientes de empresas e outros como consultores de segurança que desempenham testes de penetração toda a semana para clientes de todos os gêneros sobre quais brechas eles conseguem explorar. Quase todos têm uma lista parecida de vulnerabilidades. Acima de todas as listas está a injeção SQL, cross site scripting (XSS) ou sites inseguros. Surpreendente? Não. Muitas vezes, o método de entrada que ouvimos das explorações do grupo Anonymous é por injeção SQL. Uma vez que o servidor de rede e o servidor de base de dados subjacente estejam comprometidos, é relativamente fácil explorar a relação dos dois para pegar senhas e outros alvos. Christian von Kleist, analista sênior de segurança da Include Security, afirmou que os servidores de rede são tipicamente o que ele nota primeiro durante um teste. Muito dos meus exames tiveram sucesso apenas porque consegui explorar aplicativos inseguros em redes que, de outra forma, seriam muito seguras. Quando o questionamos sobre o porquê de tanta brecha nesses programas, ele disse que é por conta da desconexão entre as pessoas que criam o software e aqueles que têm que segurar a rede. Eles trabalham isoladamente, com a segurança tendo pouco envolvimento até que seja muito tarde e a vulnerabilidade já tenha sido implantada dentro da produção. Ainda na lista, estão as interfaces expostas de administração e gerenciamento para servidores de aplicativos; dispositivos de rede e sistemas de conteúdo de gerenciamento; informações vazadas por impressoras e sistemas de videoconferências; software desatualizado e/ ou sem suporte, muitas vezes com
padrões de configuração inseguros; e serviços de rede expostos. Geralmente descobrimos que interfaces administrativas ou de gerenciamentos estão disponíveis para um ataque externo, afirmou Kevin Johnson, consultor sênior de segurança na Secure Ideas. Alguns dos exemplos citados incluem interfaces de gerenciamento de rede da JBoss, Tomcat e Coldfusion, e serviços de administração como o Secure Shell (SSH) e o Protocolo Simples de Gerência de Rede (Simple Network Management Protocol, ou SNMP). Johnson afirmou que pacotes de software que incluem servidores ColdFusion ou JBoss são instalados sem atenção ao fato de que eles contêm consoles administrativos. Esses consoles geralmente têm credenciais padrão ou vulnerabilidades, acrescentou. Dispositivos de rede Além das interfaces de gerenciamentos, os profissionais em testes de penetração também percebem vazamento por meio de dispositivos de rede. Algumas dessas exposições incluem impressoras e sistemas de videoconferência. Com credenciais padrão ou sem senha ajustada nesses sistemas, os invasores podem roubar nomes de usuários, senhas e endereços internos de IP, e até mesmo lançar ataques a sistemas internos. No ano passado, HD Moore, que é CSO da Rapid7, demonstrou como os sistemas de videoconferência podem ser facilmente identificados por meio do escaneamento da rede para escutar as salas de reuniões. Ele descobriu cinco mil sistemas na internet esperando para aceitar chamadas. Em alguns deles, conseguiu escutar conversas e gravar vídeos do som ambiente mesmo ler e-mails de uma tela de laptop e senhas de um bilhete que estava a alguns metros de distâncias. Johnson, da Secure Ideas, disse que uma das piores coisas que sua equipe vê é a exposição de serviços de rede ou negócios e
pontos. Esses serviços são muitas vezes usados por parceiros de negócios ou aplicativos, como aplicativos móveis usados pelo departamento de marketing. Já que esses terminais são projetados para se comunicar usando aplicativos de clientes, em vez de diretamente para usuários, os desenvolvedores acham que precisam de pouco controle já que ele é confiável. Preocupação embasada Por que tanta preocupação com serviços de rede expostos? Johnson afirmou que a falta de controle de segurança dá a possibilidade de um grande ponto de entrada para determinados invasores. Durante seus testes de penetração, eles podem demonstrar qual impacto terá na empresa caso seja comprometida. A grande dúvida, claro, é como uma empresa usa essas informações para que não se torne apenas estatística? Em quase todos os casos, saber o que está na rede é fundamental. Equipes de segurança devem realizar varreduras regulares na rede para identificar novos sistemas e serviços assim que eles fiquem online. Uma área comum onde as empresas falham é saber o que é acessível por meio externo. As habilidades precisam estar ajustadas para que a empresa possa escanear os endereços IP externos para novos hosts e serviços além da varredura regular das vulnerabilidades já discutidas. Além das varreduras regulares, a segurança precisa estar mais envolvida no desenvolvimento, aquisição e implantação de aplicativos de rede. Mas todos nós sabemos que é muito mais fácil falar do que fazer. Tradução: Alba Milena, especial para o IT Web Revisão: Adriele Marchesini
PayPal também pagará por descobertas de bugs de segurança A PayPal vai premiar em dinheiro pesquisadores de segurança que descobrirem vulnerabilidades em seu site, se eles relatarem suas descobertas para a empresa de forma responsável. Atualizamos nosso processo de reportar bugs de forma a premiar informações, escreveu o diretor de segurança da empresa em um post no blog na quinta-feira. Falhas de cross-site scripting (XSS), cross-site request forgery (CSRF), injeção de SQL (SQLI) e vulnerabilidades de autenticação irão receber prêmios, cujo montante será decidido pela equipe de segurança do PayPal caso a caso. Com isso, o PayPal segue os passos de empresas como Google, Mozilla e Facebook, que implementaram programas de recompensa. Apesar de um algumas empresas terem implementado planos assim, acreditamos que somos a primeira empresa de serviços financeiros a fazê-lo, disse Barrett. Os programas de recompensa do Google, Mozilla e Facebook tiveram resultados positivos até agora, disse Barrett. Originalmente, tinha reservas quanto à idéia de pagar os pesquisadores, mas estou feliz em admitir que os dados mostraram-me estar errado é claramente uma forma eficaz de aumentar a atenção dos pesquisadores em serviços baseados na Internet e, portanto, encontrar mais problemas potenciais.
O programa vai ajudar o PayPal a reduzir o número de vulnerabilidades em seus sites, mas elas não irão desaparecer completamente, disse Marius Gabriel Avram, engenheiro de segurança da RandomStorm. Em seu tempo livre, Avram procura por vulnerabilidades em serviços web operados pelo Google, Facebook, Twitter, Microsoft, ebay, PayPal e outras empresas que permitem a pesquisadores de segurança fazer isso, contanto que eles relatem suas descobertas em particular e não causem qualquer danos. É como um desafio que ajuda os pesquisadores a melhorar suas habilidades e, em alguns casos, ganhar algum dinheiro extra, Avram disse. Avram encontrou e relatou mais de 10 problemas de segurança nos sites principal e móvel do PayPal durante as últimas duas semanas. Alguns deles eram de alta gravidade, disse, acrescentando que o pessoal do PayPal respondeu o tempo todo. Nem toda empresa pode dar ao luxo de ter um programa de recompensas. No entanto, grandes marcas com lucros significativos, como ebay, Amazon, Sony e outras deveriam fazê-lo, especialmente porque algumas sofreram violações de dados no passado, argumenta. Fonte: IDG Now! Conheça cinco técnicas de pós-exploração e
vulnerabilidades em pentest A pós-exploração em pentest são atividades feitas após a exploração inicial do penetration test. Segundo Bruno Oliveira, consultor de segurança no Trustwave Spiderlabs, nem sempre o ponto vulnerável é o mais importante. O especialista apontou, durante palestra realizada no Trustwave Security Day que ocorre nesta terça-feira (08/05) em São Paulo, que é sempre importante evoluir de um ponto a outro e descobrir mais pontos vulneráveis, como uma máquina desatualizada. Oliveira revelou que nem sempre o sistema vulnerável é o sistema desejado e que informações que podem parecer sem importância acabam ajudando o consultor durante o projeto. Criatividade na abordagem é o que difere serviços de qualidade, afirmou. O especialista também deu cinco dicas de exploração para garantir a segurança da rede da sua empresa: Coletando o arquivo SAM: o SAM é o arquivo responsável por guardar encriptados os hashes de sistemas Microsoft. Nele o administrador pode ser compartilhado entre as máquinas com importância diferentes; algum administrador de domínio pode aparecer e acar revelando os usuários de domínio. Raras vão ser as vezes que as Workstation vão ser os alvos, afirmou. Pivolt: utilizar da máquina comprometida para acesso a segmentos de rede onde a máquina de origem não tem acesso. Ou seja, o testador usa a máquina comprometida para atacar outras maquinas Arquivos importantes: procurar por arquivos de informação que podem conter dados que podem levar o consultor a comprometer outros sistemas. Dica: arquivos de configuração podem dar dados importantes
Keylogger: algumas vezes nada pode ser encontrado no host, porém algum usuário utiliza senha e pode dar informações que o testador procura. Tudo o que a pessoa digitar, uma vez que existe o keylogger, pode ser explorado para conseguir informações futuras Enumeração de usuários: alguns serviços permitem que os usuários (sem privilégio) consigam enumerar os usuários do sistema. Nem sempre a primeira exploração é a primeira que pode fazer a experiência no pentest. Fonte: IT Web Microsoft lança 7 boletins de segurança A Microsoft lançou, na terça-feira (08/05), sete boletins de segurança para corrigir vulnerabilidades nos programas Microsoft Office, Microsoft Windows, Microsoft.NET Framework e Microsoft Silverlight. Dentre as vulnerabilidades do Office três são críticas e permitem, se não corrigidas, execução de código remoto se o usuário abrir um arquivo RTF específico. O atacante que obtiver sucesso na empreitada pode ganhar os mesmo direitos de uso do utilizador atual do Office. Segundo a companhia, aqueles que tem contas que estão configuradas para ter poucos usuários nos sistemas podem ser menos impactados do que aqueles que possuem usuários administrativos. O Office possui uma atualização crítica que também serve para o Microsoft Windows, Microsoft.NET Framework e Microsoft
Silverlight. Uma das correções resolve três vulnerabilidades divulgadas publicamente e sete vulnerabilidades reportadas em particular. A mais grave dessas vulnerabilidades pode permitir a execução remota de código se um usuário abre um documento especialmente criado para o ataque ou visita uma página maliciosa que incorpora arquivos de fonte TrueType. Um invasor não teria como forçar os usuários a visitar um site malicioso. Em vez disso, ele teria que convencer os usuários a visitar o site, geralmente fazendo com que eles cliquem em um link em um e-mail ou mensagem do Instant Messenger que leva à página maliciosa. A outra atualização crítica é para o Framework.NET. Ela resolve duas vulnerabilidades que podem permitir a execução remota de código em um sistema cliente se um usuário visualiza uma página Web especialmente criada usando um navegador que podem executar aplicativos XAML (XBAPs). Nesse caso, a empresa aponta que os usuários cujas contas são configuradas com poucos direitos no sistema correm menos riscos do que aqueles que operam com direitos administrativos. Fonte: IT Web