Image Image Image Image Image
Scroll to Top

Topo

segurança

05

maio
2012

Sem Comentários

Em Blog
PHP

Por Allison

Falha crítica de segurança é encontrada no PHP

Em 05, maio 2012 | Sem Comentários | Em Blog, PHP | Por Allison

Fonte: IMasters

Por Paulo Graveheart

Uma falha recente encontrada no PHP e liberada para o público por engano pode deixar qualquer página no servidor aberta para inserção de código malicioso. A vulnerabilidade, que afeta apenas servidores rodando o PHP em modo CGI, foi descoberta por um time de hackers durante uma competição.

A essência da falha é que hoje é possível chamar parâmetros do PHP direto pela URL. Por exemplo, ao acessar o endereço http://localhost/index.php?-s, o servidor executaria o PHP com o parâmetro -s, que exibe o código-fonte do arquivo, e não o HTML gerado por ele. Só isso já seria problema suficiente (afinal, é comum inserir dados como senhas do banco de dados no código fonte), mas o time que descobriu a falha também percebeu que ela também permite inserir código malicioso no arquivo e executá-lo.

Descobertas desse tipo normalmente são enviadas para os desenvolvedores que primeiro resolvem o problema e lançam uma atualização para só então os veículos anunciarem a falha e a correção, mas por uma falha humana o bug foi acidentalmente enviado como “público” no sistema de bugs do PHP.

Embora o time de desenvolvedores já tenha liberado uma correção, há informações de que elas não resolvem totalmente o problema. O ideal é usar o PHP de outra forma que não em modo CGI (em modo FastCGI essa falha não acontece) ou incluir uma regra para que o Apache bloqueie URLs com “-” no arquivo .htaccess, evitando assim o uso de parâmetros do PHP. A regra é esta abaixo:

 
RewriteCond %{QUERY_STRING} ^(%2d|-)[^=]+$ [NC]
RewriteRule ^(.*) $1? [L]

Uma nova atualização deve sair em breve, já com uma correção mais eficiente. Até lá, todo cuidado é pouco.

Tags | , ,

29

abr
2012

Sem Comentários

Em Blog
Wordpress

Por Allison

WordPress 3.3.2 – Atualização de Segurança

Em 29, abr 2012 | Sem Comentários | Em Blog, Wordpress | Por Allison

Fonte: WPtotal

A versão 3.3.2 do WordPress já está disponível e veio corrigir alguns problemas de segurança que a versão anterior apresentava. O anuncio da nova versão foi feita por Andrew Nacin no blog oficial do wordpress.org.

Neste update foram atualizadas 3 bibliotecas externas que tinham alguns bugs:

  • Plupload – usada no o upload de conteúdo,
  • SWFUpload – usanda anteriormente para upload de conteúdo, mas continua a ser usada por alguns plugins,
  • SWFObject – também usada em versões mais antigas do wordpress e ainda usada por alguns plugins e temas.

Além das bibliotecas, foram corrigidos os seguintes problemas:

  • Vulnerabilidade XSS ao fazer com que os links sejam clicáveis,
  • Vulnerabilidade também cross-site scripting no redireccionamento depois de fazer um comentário usando browsers mais antigos,
  • Escalação de privilégios limitados, onde um administrador de site pode descativar plugins em toda a rede ao executar uma rede de WordPress em circunstâncias especiais.

As restantes correções podem ser encontradas no change log.
A atualização para esta nova versão é recomendada e não deve de criar problemas de incompatibilidade com temas ou plugins.

A atualização pode ser feita através do painel de administração do wordpress ou se preferir pode atualizar manualmente. Os links para o download da nova versão são os seguintes:

Nota: No momento em que escrevemos este post, a versão brasileira ainda não está disponível.

WordPress 3.4 Beta 3

No mesmo artigo foi anunciado que a versão Beta 3 do WordPress 3.4 já está disponível.

Esta versão está agora mais próxima da versão final que está prevista para o dia 9 de Maio, no entanto é uma versão de testes com alguns problemas e por isso é recomendado que seja usada apenas para testes.

Tags | , , ,

27

abr
2012

Sem Comentários

Em Blog
Segurança

Por Allison

Faça de forma simples a segurança da informação

Em 27, abr 2012 | Sem Comentários | Em Blog, Segurança | Por Allison

Fonte: Edison Fontes/IMasters

KISS – Keep it simple, stupid! => Faça simples, estúpido!

Há muito tempo, ouvi essa brincadeira, que, apesar de ser brincadeira, tem uma mensagem excelente: “faça as coisas de uma maneira simples”. E fazer as coisas de uma maneira simples exige muito conhecimento, experiência e visão prática, mesmo baseada em uma teoria complicada.

Assistindo ao telejornal, um pesquisador da EMBRAPA falou mais ou menos isto: o problema acerca da água é complexo, mas precisamos de soluções simples. Cada vez mais, estou seguindo linha de pensamento: se algo merece ser feito, merece ser bem feito e também merece ser feito de forma simples.

No assunto segurança da informação, entendo que existem várias armadilhas nas quais costumamos cair e que tornam as soluções complexas. Gostaria de compartilhar algumas:

Tratar a segurança sem escopo, limites e cenários

A segurança da informação envolve muitos aspectos – desde os mais técnicos até os relacionados à pessoa humana. Qualquer projeto ou conjunto de ações em segurança da informação precisa ser desenvolvido considerando um ambiente: escopo, limites e cenários. É necessário ficar claro que as atividades previstas e os objetivos definidos são válidos para o ambiente considerado. Na medida em que a organização aumenta sua maturidade em segurança, ela pode expandir e aumentar a complexidade desse ambiente.

Uma coisa é uma coisa, outra coisa é outra coisa

Brincadeiras à parte, somos facilmente levados a querer consertar a organização por causa do processo de segurança da informação. Um exemplo: se a organização tem um péssimo clima organizacional, evidentemente isso vai dificultar o processo de segurança, e o gestor de segurança deve estar atento. Porém, não é responsabilidade da área de segurança da informação cuidar do clima organizacional. Isso é um problema de Recursos Humanos. A gestão da organização é ruim? Que chato! E isso vai dificultar o processo de segurança da informação, mas esse é um problema organizacional, é um problema do gestor maior da organização.

O foco deve ser os objetivos da organização

A segurança da informação existe para que a organização funcione adequadamente no que diz respeito à informação e aos recursos de informação. Não se faz recuperação de energia pela recuperação da energia. Se faz a recuperação de energia porque a organização precisa acessar a informação que está em recursos de informação, que para funcionar precisam de energia elétrica. Todos, e eu digo todos, os projetos e os conjuntos de ações só devem existir para possibilitar o funcionamento da organização.

Comunicação simples

A comunicação da segurança da informação realizada por políticas, normas, procedimentos e material de conscientização precisa ser simples, direta e de fácil entendimento. Aquilo que for obrigatório tem que ser colocado como mandatório. Não podemos ter frases como: O guarda prendeu o ladrão na casa dele. Na casa do guarda, ou na casa do ladrão?

Se a Organização não quer segurança, não teremos segurança

Esta é a parte mais difícil para os gestores de segurança, que são funcionários da organização. Muitas organizações não querem levar a segurança a sério, não querem gastar recursos e passam, por exemplo, dez anos com uma cadeira de brinquedo do parque de diversão quebrada e não tomam providencia. Ou como no desastre da Estação Brasileira na Antártida: vamos ver se os pesquisadores tinham cópia de segurança nos seus notebooks. Essas empresas ou projetos não levam a segurança a sério, e essa é uma responsabilidade da gestão executiva. Para o gestor de segurança, fica uma situação muito difícil. O que você pode fazer é deixar essa organização, porque, no momento dos problemas, vão querer incriminá-lo.

Existem muitas armadilhas, cuidado! Uma das estratégias que sigo e com a qual obtenho bons resultados é fazer as coisas de forma simples, mas com muito conhecimento.

Lembre-se: KISS!

Tags | , ,

24

abr
2012

Sem Comentários

Em Blog
Wordpress

Por Allison

WordPress corrige problemas de segurança relacionados ao upload de arquivos

Em 24, abr 2012 | Sem Comentários | Em Blog, Wordpress | Por Allison

Fonte: IMasters

Com informações de The H

Os desenvolvedores do WordPress liberaram uma atualização de segurança para o CMS. O WordPress 3.3.2 corrige bugs não especificados em três bibliotecas externas de upload de arquivos, além de outros problemas de segurança com a plataforma.

Os bugs afetam as bibliotecas Plupload, SWFUpload e SWFObject; elas foram empacotadas em versões mais antigas do WordPress e ainda podem ser usadas em alguns plugins nas versões atuais do aplicativo.

Os desenvolvedores não entraram em detalhes a respeito das falhas de segurança, mas agradeceram a três pessoas da comunidade do WordPress por descobri-las. Outras três correções resolvem problemas de escalação de privilégio na engine do sistema multi-site da plataforma, e duas vulnerabilidades de cross-site scripting em componentes importantes do WordPress.

Mais detalhes sobre a nova versão podem ser encontrados no change log. Ela está disponível para download no site do projet

Tags | , ,

15

abr
2012

Sem Comentários

Em Blog

Por Allison

Seu blog pode estar na mira dos cracker’s – Proteja-o!

Em 15, abr 2012 | Sem Comentários | Em Blog | Por Allison

Fonte: CriarSites

Este é um guest post escrito por Nagib Carrilho.

Foi-se o tempo em que somente sites do governo e de grandes entidades eram visados em ataques virtuais. No passado você poderia até se perguntar: Por que me preocupar se não tenho site e sim um blog?

Atualmente a situação é bem diferente. Com o constante crescimento de trafego e valorização de blogs em diferentes nichos, a exemplo deste que você está lendo, a curiosidade e o desafio dos cracker’s aumentam, pois, quanto maior e mais importante a vítima, mais reputação e prazer o invasor terá.

Certamente você está aliviado: “Ufa! Ainda bem que meu blog tem poucas visitas e reconhecimento. Não serei invadido!” — ERRADO! Com tanta facilidade tecnológica e pouca ética profissional, qualquer um pode invadir um blog, ainda mais os ansiosos “Lamers” (aprendizes) que disparam contra qualquer site na esperança de aumentar sua reputação e causam problemas enormes.

Vamos às dicas:

1 – Faça backup com frequência.

Os backups são muito importantes, tanto do banco de dados como de todo seu diretório de imagens e uploads.

Faça também uma cópia de todo o blog (paginas, plugins e pastas) para substituir um arquivo caso seja infectado, alterado ou removido.

2 – Altere todas as senhas.

Altere suas senhas com regularidade:

Servidor: geralmente a invasão por ataque de força bruta consegue desvendar ou burlar a senha do FTP, altere sempre que puder.

Login: Tenha em sua rotina a mudança da senha de administrador do painel do WordPress. Um Trojan alojado em seu PC pode pegar seus dados de acesso e enviar para o invasor.

Email: Com softwares como o “Languard” invasores podem escanear e descobrir a senha do seu email e assim pedem para o WordPress alterar a senha. A confirmação de pedido da nova senha sendo enviada para o email, Já era.

Use números, letras e caracteres especiais alternando entre letras maiúsculas e minúsculas.

3 – Escaneie seu blog.

Faça um backup de todo conteúdo de seu site para o PC e verifique cada arquivo com o antivírus.

Um bom plugin para escaneamento é o Antivírus for WordPress. Com ele você recebe um alerta no email e confere os códigos suspeitos em seu blog.

4 – Cuidado com as parcerias.

Muitos aceitam guest posts em seus blogs (o que é muito valioso), mas cuidado com os banners inseridos no corpo do post. Alguns mal intencionados escondem códigos maliciosos em meio aos códigos.

Solicite o código do banner em um bloco de notas à parte para análise.

5 – Use um tema filho.

O tema filho além de facilitar a alteração e atualização do seu tema e WordPress quase sempre sem danificar seu blog, aumenta a proteção, pois caso seu site seja invadido fica mais difícil alterar sua index.

Essas são minhas dicas.

Mais informações podem ser encontradas em outros posts aqui no CriarSites.com.

E Você, já está protegendo seu blog?

Tags | , ,

18

mar
2012

Sem Comentários

Em Blog
Joomla

Por Allison

Joomla 2.5.2 é liberado e traz correção para dois problemas de segurança

Em 18, mar 2012 | Sem Comentários | Em Blog, Joomla | Por Allison

Fonte: IMasters

O Joomla Project disponibilizou a versão 2.5.2 do Joomla, que é uma atualização de segurança. Sendo assim, ela traz correção para dois problemas de segurança: um de alta prioridade (SQL Injection) e outro de média de prioridade (XSS Vulnerability).

Os desenvolvedores pedem que quaisquer bugs encontrados sejam reportados através do Joomla! CMS Issue Tracker.

O processo de update é simples, e instruções completas estão disponíveis neste link.

Mais detalhes estão disponíveis no anúncio oficial, que pode ser acessado aqui.

Tags | , , , ,

12

fev
2012

Sem Comentários

Em Blog
Wordpress

Por Allison

Ter seu blog hackeado não é tão difícil

Em 12, fev 2012 | Sem Comentários | Em Blog, Wordpress | Por Allison

Este artigo foi escrito pelo colaborador Yure Santana que bloga no Blog Indignado, onde escreve sobre esportes, curiosidades, novelas, noticias, TV, dicas e etc.

Fonte: CriarSites

Ao contrario do que muitos pensam. Ter o blog hackeado não é muito difícil. Eu mesmo já passei por esta situação, em dezembro do ano passado (2011) o meu blog, o Blog Indignado, teve a pagina inicial – a index – trocada por outra, que mostrava a imagem de um Papai Noel.

Graças a Deus consegui resolver essa situação rapidamente e não me trouxe maiores problemas. Eu diária que esta situação até que foi boa, pra me alertar do que se pode acontecer quando não tomamos certas medidas para proteger nossos blogs.

Hoje vou tentar ajudar vocês com algumas dicas para que não passe pelo mesmo que passei.

Troque o endereço da pagina de login

Ao trocar o endereço da pagina de login do seu blog você estará se protegendo de entradas forçadas ao seu blog. Para trocar a URL da pagina de login basta localizar o arquivo “wp-login.php” na pasta em que o WP esta instalado e modificar o nome do arquivo para outro qualquer mantendo a extensão “.php”, claro.

Modifique o prefixo da tabela do banco de dados

Por padrão o prefixo do banco de dados do WordPress é “wp_”. Ao trocar você deixará quem tentar hackear seu blog perdido, já que ele não saberá o prefixo do seu banco de dados. A maneira mais simples de trocar o prefixo da tabela do banco de dados depois da instalação, em minha opinião, é com o plugin WP Security Scan.

Apague o usuário “adm”

Após instalar o WordPress apague o usuário “adm” imediatamente, mas lembre-se de criar o seu usuário primeiro.

Faça backup regulamente

Sempre faça backups do seu blog e salve em seu computador. Faça pelo menos um backup por semana e/ou sempre que for editar ou trocar de tema. Se não sabe como fazer um backup, veja: Como fazer o backup do banco de dados pelo phpMyAdmin.

Instale alguns plug-ins necessários

Alguns plug-ins são indispensáveis para quem deseja segurança no WordPress.

São eles:

WP Security Scan: Com este plug-in é possível alterar o prefixo das tabelas do banco de dados, fazer backup do banco de dados e também faz um escaneamento do seu blog procurando por vulnerabilidades, se encontrar lhe ará dicas para resolver o problema.

Login LockDown: Este plug-in salva todos os endereços de IP que tentou fazer o login em seu blog e por algum motivo não conseguiu. Depois de um numero especifico de tentativas ele bloqueia a caixa de login, impedindo assim a entrada forçada.

Conclusão

Acredito que se você usar todas as dicas aqui dadas você estará protegendo seu blog no WordPress de possíveis ataques de hackers e assim contribuindo para o seu sucesso na blogosfera. O ataque que o Blog Indignado sofreu foi insignificante, mas que poderia ser evitado se eu tivesse tomado essa metidas.

Tags | , , , , , , , ,

05

fev
2012

Sem Comentários

Em Blog
PHP

Por Allison

Vulnerabilidade crítica de segurança no PHP está sendo corrigida

Em 05, fev 2012 | Sem Comentários | Em Blog, PHP | Por Allison

Com informações de The H

Fonte: IMasters

Os desenvolvedores do PHP estão trabalhando para corrigir uma vulnerabilidade crítica de segurança no PHP que eles introduziram com um recente patch de segurança. Entretanto, não está claro se o questionável patch foi aplicado a versões mais antigas.

A causa do problema foi uma atualização de segurança no PHP 5.3.9, que foi feita para prevenir ataques de negação de serviço (DoS) usando colisões hash. Para fazer isso, os desenvolvedores limitaram o maior número possível de parâmetros de entrada para mil em php_variables.c, usando max_input_vars. Devido aos erros na implementação, os hackers podem intencionalmente exceder esse limite e injetar e executar código. O bug é considerado crítico, já que o código pode ser injetado remotamente através da web.

A versão de desenvolvimento do PHP já possui um patch para o bug, mas os desenvolvedores ainda precisam liberar um comunicado oficial. Ainda não está claro se há medidas imediatas sendo tomadas para administradores.

Atualização: A versão 5.3.10 do PHP foi liberada e está disponível para download a partir do site do projeto. Ela corrige a vulnerabilidade que permitia a execução de código remoto. Os desenvolvedores recomendam todos os usuários a atualizarem para a recente versão o mais rápido possível.

Tags | , , , ,

26

jan
2012

Sem Comentários

Em Blog
Cloud Computing

Por Allison

Segurança em nuvem e o fator escolha do provedor

Em 26, jan 2012 | Sem Comentários | Em Blog, Cloud Computing | Por Allison

Fonte: Cezar Taurion/IMasters

Em 2011, nas muitas palestras e eventos de que participei, quase sempre ouvia o questionamento quanto à segurança e à disponibilidade das nuvens públicas. As eventuais falhas que aparecem em nuvens públicas se espalham com muita rapidez com, na minha opinião, excessiva publicidade, pela mídia. Um “cloud data center” é uma infraestrutura complexa, com muita tecnologia envolvida e com alto grau de resiliência. Mas, embora nada seja completamente imune a falhas, com certeza ele será bem mais seguro e confiável que a imensa maioria dos data centers que vemos espalhados pelo Brasil afora…

Colocar sua empresa em uma nuvem pública não significa que você vai se omitir das questões de segurança e privacidade. A escolha do provedor é fundamental. Existem provedores focados em usuários finais e em empresas muito pequenas, que sofrem menos em termos financeiros e operacionais quando eventualmente seus sistemas saem do ar, e aqueles focados em usuários corporativos, que sabem que um sistema indisponível pode significar milhões de reais em prejuízo. Portanto, existem provedores e provedores…

Para usar uma nuvem pública, é sempre bom ser cauteloso e fazer uma “due diligence” para se assegurar de que o provedor adota práticas de segurança e de disponibilidade adequadas. Uma boa fonte de pesquisas e estudos sobre o assunto, bem como certificações de resiliência de data centers, pode ser vista no Uptime Intitute (http://uptimeinstitute.com/). Em tempo, no Brasil é http://uptimeinstitute.com/uptime-institute-brasil. Sugiro também ler a autópsia da queda do data center da Amazon, em Dublin, na Irlanda no ano passado em http://aws.amazon.com/message/2329B7/.

É importante saber que sempre pode existir uma falha. Assim, analise as práticas adotadas pelo provedor, o grau de transparência de informações que ele passa e os serviços de recuperação de falhas que ele oferece. Valide se ele adota práticas profissionais como ITIL e se está aderente a regras de segurança ISO/IEC 27001:2005. Uma boa fonte de suporte é a Cloud Security Alliance e seu GRC Stack (Governance, Risk Management and Compliance) em https://cloudsecurityalliance.org/research/grc-stack/, que contém vários documentos que ajudam uma empresa a avaliar seu provedor de nuvem pública. Recomendo também, como apoio nessa avaliação, acessar a página do CAMM (Common Assurance Maturity Model) em http://common-assurance.com/ e estudar os seus papers.

Além disso, arquitete seus sistemas para explorar as potencialidades das nuvens públicas e crie condições de resiliência próprias. Isso significa que você não deve simplesmente transferir de olhos fechados seus aplicativos on-premise para a nuvem. Adicione a esse processo as práticas de segurança e de recuperação adequadas para operar na nuvem. Não se esqueça de avaliar cuidadosamente as cláusulas contratuais quanto a esses aspectos. Na prática, a responsabilidade pela gestão dos riscos é compartilhada entre o provedor da nuvem e os seus clientes.

Tags | , ,