Arquivo da tag: segurança

Falha crítica de segurança é encontrada no PHP

Fonte: IMasters

Por Paulo Graveheart

Uma falha recente encontrada no PHP e liberada para o público por engano pode deixar qualquer página no servidor aberta para inserção de código malicioso. A vulnerabilidade, que afeta apenas servidores rodando o PHP em modo CGI, foi descoberta por um time de hackers durante uma competição.

A essência da falha é que hoje é possível chamar parâmetros do PHP direto pela URL. Por exemplo, ao acessar o endereço http://localhost/index.php?-s, o servidor executaria o PHP com o parâmetro -s, que exibe o código-fonte do arquivo, e não o HTML gerado por ele. Só isso já seria problema suficiente (afinal, é comum inserir dados como senhas do banco de dados no código fonte), mas o time que descobriu a falha também percebeu que ela também permite inserir código malicioso no arquivo e executá-lo.

Descobertas desse tipo normalmente são enviadas para os desenvolvedores que primeiro resolvem o problema e lançam uma atualização para só então os veículos anunciarem a falha e a correção, mas por uma falha humana o bug foi acidentalmente enviado como “público” no sistema de bugs do PHP.

Embora o time de desenvolvedores já tenha liberado uma correção, há informações de que elas não resolvem totalmente o problema. O ideal é usar o PHP de outra forma que não em modo CGI (em modo FastCGI essa falha não acontece) ou incluir uma regra para que o Apache bloqueie URLs com “-” no arquivo .htaccess, evitando assim o uso de parâmetros do PHP. A regra é esta abaixo:

 
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Uma nova atualização deve sair em breve, já com uma correção mais eficiente. Até lá, todo cuidado é pouco.

WordPress 3.3.2 – Atualização de Segurança

Fonte: WPtotal

A versão 3.3.2 do WordPress já está disponível e veio corrigir alguns problemas de segurança que a versão anterior apresentava. O anuncio da nova versão foi feita por Andrew Nacin no blog oficial do wordpress.org.

Neste update foram atualizadas 3 bibliotecas externas que tinham alguns bugs:

  • Plupload – usada no o upload de conteúdo,
  • SWFUpload – usanda anteriormente para upload de conteúdo, mas continua a ser usada por alguns plugins,
  • SWFObject – também usada em versões mais antigas do wordpress e ainda usada por alguns plugins e temas.

Além das bibliotecas, foram corrigidos os seguintes problemas:

  • Vulnerabilidade XSS ao fazer com que os links sejam clicáveis,
  • Vulnerabilidade também cross-site scripting no redireccionamento depois de fazer um comentário usando browsers mais antigos,
  • Escalação de privilégios limitados, onde um administrador de site pode descativar plugins em toda a rede ao executar uma rede de WordPress em circunstâncias especiais.

As restantes correções podem ser encontradas no change log.
A atualização para esta nova versão é recomendada e não deve de criar problemas de incompatibilidade com temas ou plugins.

A atualização pode ser feita através do painel de administração do wordpress ou se preferir pode atualizar manualmente. Os links para o download da nova versão são os seguintes:

Nota: No momento em que escrevemos este post, a versão brasileira ainda não está disponível.

WordPress 3.4 Beta 3

No mesmo artigo foi anunciado que a versão Beta 3 do WordPress 3.4 já está disponível.

Esta versão está agora mais próxima da versão final que está prevista para o dia 9 de Maio, no entanto é uma versão de testes com alguns problemas e por isso é recomendado que seja usada apenas para testes.

Faça de forma simples a segurança da informação

Fonte: Edison Fontes/IMasters

KISS – Keep it simple, stupid! => Faça simples, estúpido!

Há muito tempo, ouvi essa brincadeira, que, apesar de ser brincadeira, tem uma mensagem excelente: “faça as coisas de uma maneira simples”. E fazer as coisas de uma maneira simples exige muito conhecimento, experiência e visão prática, mesmo baseada em uma teoria complicada.

Assistindo ao telejornal, um pesquisador da EMBRAPA falou mais ou menos isto: o problema acerca da água é complexo, mas precisamos de soluções simples. Cada vez mais, estou seguindo linha de pensamento: se algo merece ser feito, merece ser bem feito e também merece ser feito de forma simples.

No assunto segurança da informação, entendo que existem várias armadilhas nas quais costumamos cair e que tornam as soluções complexas. Gostaria de compartilhar algumas:

Tratar a segurança sem escopo, limites e cenários

A segurança da informação envolve muitos aspectos – desde os mais técnicos até os relacionados à pessoa humana. Qualquer projeto ou conjunto de ações em segurança da informação precisa ser desenvolvido considerando um ambiente: escopo, limites e cenários. É necessário ficar claro que as atividades previstas e os objetivos definidos são válidos para o ambiente considerado. Na medida em que a organização aumenta sua maturidade em segurança, ela pode expandir e aumentar a complexidade desse ambiente.

Uma coisa é uma coisa, outra coisa é outra coisa

Brincadeiras à parte, somos facilmente levados a querer consertar a organização por causa do processo de segurança da informação. Um exemplo: se a organização tem um péssimo clima organizacional, evidentemente isso vai dificultar o processo de segurança, e o gestor de segurança deve estar atento. Porém, não é responsabilidade da área de segurança da informação cuidar do clima organizacional. Isso é um problema de Recursos Humanos. A gestão da organização é ruim? Que chato! E isso vai dificultar o processo de segurança da informação, mas esse é um problema organizacional, é um problema do gestor maior da organização.

O foco deve ser os objetivos da organização

A segurança da informação existe para que a organização funcione adequadamente no que diz respeito à informação e aos recursos de informação. Não se faz recuperação de energia pela recuperação da energia. Se faz a recuperação de energia porque a organização precisa acessar a informação que está em recursos de informação, que para funcionar precisam de energia elétrica. Todos, e eu digo todos, os projetos e os conjuntos de ações só devem existir para possibilitar o funcionamento da organização.

Comunicação simples

A comunicação da segurança da informação realizada por políticas, normas, procedimentos e material de conscientização precisa ser simples, direta e de fácil entendimento. Aquilo que for obrigatório tem que ser colocado como mandatório. Não podemos ter frases como: O guarda prendeu o ladrão na casa dele. Na casa do guarda, ou na casa do ladrão?

Se a Organização não quer segurança, não teremos segurança

Esta é a parte mais difícil para os gestores de segurança, que são funcionários da organização. Muitas organizações não querem levar a segurança a sério, não querem gastar recursos e passam, por exemplo, dez anos com uma cadeira de brinquedo do parque de diversão quebrada e não tomam providencia. Ou como no desastre da Estação Brasileira na Antártida: vamos ver se os pesquisadores tinham cópia de segurança nos seus notebooks. Essas empresas ou projetos não levam a segurança a sério, e essa é uma responsabilidade da gestão executiva. Para o gestor de segurança, fica uma situação muito difícil. O que você pode fazer é deixar essa organização, porque, no momento dos problemas, vão querer incriminá-lo.

Existem muitas armadilhas, cuidado! Uma das estratégias que sigo e com a qual obtenho bons resultados é fazer as coisas de forma simples, mas com muito conhecimento.

Lembre-se: KISS!

WordPress corrige problemas de segurança relacionados ao upload de arquivos

Fonte: IMasters

Com informações de The H

Os desenvolvedores do WordPress liberaram uma atualização de segurança para o CMS. O WordPress 3.3.2 corrige bugs não especificados em três bibliotecas externas de upload de arquivos, além de outros problemas de segurança com a plataforma.

Os bugs afetam as bibliotecas Plupload, SWFUpload e SWFObject; elas foram empacotadas em versões mais antigas do WordPress e ainda podem ser usadas em alguns plugins nas versões atuais do aplicativo.

Os desenvolvedores não entraram em detalhes a respeito das falhas de segurança, mas agradeceram a três pessoas da comunidade do WordPress por descobri-las. Outras três correções resolvem problemas de escalação de privilégio na engine do sistema multi-site da plataforma, e duas vulnerabilidades de cross-site scripting em componentes importantes do WordPress.

Mais detalhes sobre a nova versão podem ser encontrados no change log. Ela está disponível para download no site do projet

Seu blog pode estar na mira dos cracker’s – Proteja-o!

Fonte: CriarSites

Este é um guest post escrito por Nagib Carrilho.

Foi-se o tempo em que somente sites do governo e de grandes entidades eram visados em ataques virtuais. No passado você poderia até se perguntar: Por que me preocupar se não tenho site e sim um blog?

Atualmente a situação é bem diferente. Com o constante crescimento de trafego e valorização de blogs em diferentes nichos, a exemplo deste que você está lendo, a curiosidade e o desafio dos cracker’s aumentam, pois, quanto maior e mais importante a vítima, mais reputação e prazer o invasor terá.

Certamente você está aliviado: “Ufa! Ainda bem que meu blog tem poucas visitas e reconhecimento. Não serei invadido!” — ERRADO! Com tanta facilidade tecnológica e pouca ética profissional, qualquer um pode invadir um blog, ainda mais os ansiosos “Lamers” (aprendizes) que disparam contra qualquer site na esperança de aumentar sua reputação e causam problemas enormes.

Vamos às dicas:

1 – Faça backup com frequência.

Os backups são muito importantes, tanto do banco de dados como de todo seu diretório de imagens e uploads.

Faça também uma cópia de todo o blog (paginas, plugins e pastas) para substituir um arquivo caso seja infectado, alterado ou removido.

2 – Altere todas as senhas.

Altere suas senhas com regularidade:

Servidor: geralmente a invasão por ataque de força bruta consegue desvendar ou burlar a senha do FTP, altere sempre que puder.

Login: Tenha em sua rotina a mudança da senha de administrador do painel do WordPress. Um Trojan alojado em seu PC pode pegar seus dados de acesso e enviar para o invasor.

Email: Com softwares como o “Languard” invasores podem escanear e descobrir a senha do seu email e assim pedem para o WordPress alterar a senha. A confirmação de pedido da nova senha sendo enviada para o email, Já era.

Use números, letras e caracteres especiais alternando entre letras maiúsculas e minúsculas.

3 – Escaneie seu blog.

Faça um backup de todo conteúdo de seu site para o PC e verifique cada arquivo com o antivírus.

Um bom plugin para escaneamento é o Antivírus for WordPress. Com ele você recebe um alerta no email e confere os códigos suspeitos em seu blog.

4 – Cuidado com as parcerias.

Muitos aceitam guest posts em seus blogs (o que é muito valioso), mas cuidado com os banners inseridos no corpo do post. Alguns mal intencionados escondem códigos maliciosos em meio aos códigos.

Solicite o código do banner em um bloco de notas à parte para análise.

5 – Use um tema filho.

O tema filho além de facilitar a alteração e atualização do seu tema e WordPress quase sempre sem danificar seu blog, aumenta a proteção, pois caso seu site seja invadido fica mais difícil alterar sua index.

Essas são minhas dicas.

Mais informações podem ser encontradas em outros posts aqui no CriarSites.com.

E Você, já está protegendo seu blog?

Joomla 2.5.2 é liberado e traz correção para dois problemas de segurança

Fonte: IMasters

O Joomla Project disponibilizou a versão 2.5.2 do Joomla, que é uma atualização de segurança. Sendo assim, ela traz correção para dois problemas de segurança: um de alta prioridade (SQL Injection) e outro de média de prioridade (XSS Vulnerability).

Os desenvolvedores pedem que quaisquer bugs encontrados sejam reportados através do Joomla! CMS Issue Tracker.

O processo de update é simples, e instruções completas estão disponíveis neste link.

Mais detalhes estão disponíveis no anúncio oficial, que pode ser acessado aqui.

Vulnerabilidade crítica de segurança no PHP está sendo corrigida

Com informações de The H

Fonte: IMasters

Os desenvolvedores do PHP estão trabalhando para corrigir uma vulnerabilidade crítica de segurança no PHP que eles introduziram com um recente patch de segurança. Entretanto, não está claro se o questionável patch foi aplicado a versões mais antigas.

A causa do problema foi uma atualização de segurança no PHP 5.3.9, que foi feita para prevenir ataques de negação de serviço (DoS) usando colisões hash. Para fazer isso, os desenvolvedores limitaram o maior número possível de parâmetros de entrada para mil em php_variables.c, usando max_input_vars. Devido aos erros na implementação, os hackers podem intencionalmente exceder esse limite e injetar e executar código. O bug é considerado crítico, já que o código pode ser injetado remotamente através da web.

A versão de desenvolvimento do PHP já possui um patch para o bug, mas os desenvolvedores ainda precisam liberar um comunicado oficial. Ainda não está claro se há medidas imediatas sendo tomadas para administradores.

Atualização: A versão 5.3.10 do PHP foi liberada e está disponível para download a partir do site do projeto. Ela corrige a vulnerabilidade que permitia a execução de código remoto. Os desenvolvedores recomendam todos os usuários a atualizarem para a recente versão o mais rápido possível.

Segurança em nuvem e o fator escolha do provedor

Fonte: Cezar Taurion/IMasters

Em 2011, nas muitas palestras e eventos de que participei, quase sempre ouvia o questionamento quanto à segurança e à disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens públicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela mídia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune a falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil afora…

Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e em empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuários corporativos, que sabem que um sistema indisponível pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…

Para usar uma nuvem pública, é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar de que o provedor adota práticas de segurança e de disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers, pode ser vista no Uptime Intitute (http://uptimeinstitute.com/). Em tempo, no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado em http://aws.amazon.com/message/2329B7/.

É importante saber que sempre pode existir uma falha. Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente a regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance) em https://cloudsecurityalliance.org/research/grc-stack/, que contém vários documentos que ajudam uma empresa a avaliar seu provedor de nuvem pública. Recomendo também, como apoio nessa avaliação, acessar a página do CAMM (Common Assurance Maturity Model) em http://common-assurance.com/ e estudar os seus papers.

Além disso, arquitete seus sistemas para explorar as potencialidades das nuvens públicas e crie condições de resiliência próprias. Isso significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a esse processo as práticas de segurança e de recuperação adequadas para operar na nuvem. Não se esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a esses aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.