Falha Detectada em Empresa Americana
O analista de segurança da Site Blindado, Carlos Eduardo Santiago, encontrou recentemente uma vulnerabilidade a ataques Get/Post Spoofing, ou mais conhecida como, “Falsificação de Formulários” na empresa norte americana HelpScout.
A empresa mantém um programa de Bug Bounty (programa de recompensa) e já teve várias falhas encontradas por pesquisadores renomados na área de segurança de vários países, porém nenhum brasileiro constava na lista. Carlos Eduardo é o primeiro brasileiro dessa lista.
A vulnerabilidade encontrada na empresa americana HelpScout dava acesso a mais de 23 mil caixas de entrada de e-mails, possibilitando a criação de usuários temporários com permissões de administrador, que acessavam quaisquer contas de empresas que utilizam o serviço. Isso permitia ler, apagar ou ainda enviar e-mails utilizando essas contas temporárias.
Muitas empresas americanas mantêm programas de recompensa por falhas encontradas (a lista pode ser conferida aqui), podendo pagar de 100 dólares até 150 mil dólares, dependendo da gravidade da falha. Por exemplo, no início deste ano, o brasileiro Reginaldo Silva recebeu cerca de 80 mil reais devido à descoberta de uma falha no Facebook.
Além dele, outros brasileiros já receberam quantias consideráveis por descobertas de falhas em sistemas de grandes empresas.
Atualmente, o mercado de segurança faz uso de algumas tabelas e metodologias mantidas por instituições, para listar as vulnerabilidades mais comuns na web. Entre essas, a tabela mantida pela OWASP (Open Web Application Security Project) se tornou referência por ser uma das primeiras a criar um TOP 10, onde listam as vulnerabilidades mais comuns na web, além de divulgar massivamente as dez mais recorrentes.
Porém, muitas vulnerabilidades não estão devidamente posicionadas ou divulgadas por motivos desconhecidos. É sabido que, para vender produtos de segurança que protegem contra a maioria das vulnerabilidades, tais brechas devem estar bem colocadas nos rankings de vulnerabilidades, como o mantido pela OWASP.
GET/POST SPOOFING: Uma Vulnerabilidade que Merece Mais Respeito
As brechas lógicas que podem ocorrer no momento do desenvolvimento de uma aplicação ou na criação de formulários, por exemplo, podem ter um custo bem alto quando a versão final do produto é publicada. O consenso é que, para a passagem de dados simples por parâmetros (por exemplo, um texto a ser buscado) devemos usar o método GET, enquanto que o método POST deve ser usado para parâmetros mais sensíveis e que deveriam estar mais seguros, como a senha para login.
A princípio, ambos os métodos não garantem segurança, pois não é este o propósito de tais métodos. A segurança dos parâmetros passados deve ser garantida por outros meios de controle.
O recomendável, e que se tornou senso comum da prática de desenvolvimento seguro, é que o desenvolvedor sempre deve validar os dados o que o usuário envia, seguindo o seguinte modelo:
1. validação no front end, para o usuário normal;validação
2. no back end, para o usuário malicioso;validação
3. no banco de dados, para integridade e consistência de dados.
É extremamente raro encontrar desenvolvedores que fazem essas validações, e por isso surgem muitas vulnerabilidades a ataques como o SQL Error Message, SQL Blind Injection, XSS, GET/POST Spoofing (falsificação de formulários), entre outros.Infelizmente, por ser muito simples, ou por não existir métodos para um scan detectar tal vulnerabilidade, o ataque por GET/POST spoofing ainda está longe de ser uma vulnerabilidade conhecida e com presença nas listas de vulnerabilidades mais famosas.
0 comentários: