domingo, 3 de junho de 2012

O que é Session Hijacking

O que é Session Hijacking




Hijacking - Corresponde a um ataque aonde uma sessão activa é interceptada e utilizada pelo atacante. Pode acontecer localmente se o PC for deixado desprotegido, ou remotamente via internet."
Introdução
O Termo “Session Hijacking” refere-se à exploração de uma sessão válida de um computador – as vezes também chamada de Session Key ou ID – para conseguir acesso não-autorizado a informações ou serviços em um sistema de computador.
Em particular, é usado para referir-se ao roubo do Magic Cookie, utilizado para autenticar um usuário em um servidor remoto. Isto é particularmente relevante para os desenvolvedores Web, já que os HTTP Cookies usados para manter uma sessão em diversos sites Web podem facilmente ser roubados por um atacante utilizando um computador que esteja no meio da comunicação ou então acessando os cookies salvos no computador da vítima.
Muitos web sites permitem que usuários criem e gerenciem suas próprias accounts, logando utilizando um username e password (que pode ou não ser criptografada durante o transito) ou outro método de autenticação. Para que o usuário não tenha que re-digitar seu usuário/senha em todas as página para manter sua sessão, muitos web sites utilizam-se de cookies: um token de informações solicitadas pelo server e retornada pelo user browser para confirmar sua identidade.
Se um atacante estiver habilitado a rouber este cookie, ele pode fazer requisições como se fosse o usuário legítimo, ganhando acesso à informações privilegiadas ou até modificando dados. Se o cookie for um Cookie Persistente, o roubo de identidade pode se estender por um tempo muito longo.
É claro que Session Hijacking não é limitada para a Web, qualquer protocolo cujo o estado é mantido através de uma key que é checada através de dois computadores é vulnerável, especialmente se não for criptografada.
Terminologia
Uma das grandes vantagens de utilizar o Mozilla Firefox é que você pode conseguir uma porção de plugins interessantes para explorar aplicações. Tamper Data, Cookie Culler, AEC Cookie Editor são alguns destes. Uma pequena introdução sobre estas tools.
- Tamper Data: É utilizado para rastrear a comunicação entre o browser e o servidor e esta funcionalidade permite interceptar e modificar os dados “on the Fly” e re-enviar para o servidor.
- Cookie Culler: É utilizado para visualizar os cookies e apaga-los caso seja necessário
- AEC Cookie Edito: Permite melhor controle sobre o Cookie que você modifica, e assim modificar seu conteúdo para testar vulnerabilidades em sua aplicação web.
Um Exemplo
Vamos verificar algumas tools mencionadas acima. Aqui, TamperData mostra a comunicação de outgoing onde eu fiz um search por “Session Hijacking” no google. Você pode ver ambos os Headers, tanto de request quanto de response assim como os parametros GET, POST e seus valores.
TamperData
AEC Cookie Editar mostra informações a respeito dos Cookies no sistema e explica como um Web Server rastreia os clientes utilizando os cookies.
AEC Cookie Editor
Exploitation Scenario
A maioria das aplicações web utilizam HTTP e HTTPS protocols juntos para suas comunicações dependendo da sensibilidade da informação que está sendo enviada através do canal de comunicação. Em geral o HTTPS é ativado para enviar username/password, informações financeiras e outras informações importantes. Uma vez que a informação é enviada a aplicação volta a utilizar HTTP novamente.
Normalmente se você observar uma aplicação web, ela joga seus cookies assim que você visita a página pela primeira vez e o cookie vai manter o seu Session ID. Este ID e uma importante peça de informação a qual poderá ser utilizada para rastrear a sessão toda vez que o usuário se logar. Muitas pessoas negligenciam a importancia deste ID. Todas as vezes antesde entrar num canal seguro, eles utilizam o mesmo Session ID. Aí é onde a vulnerabilidade existe. Sniffar uma rede é muito simples. Uma grande variedade de softwares estão disponiveis para sniffar informações de forma ativa e passiva.
Especialmente em redes wireless, sniffing é fácil como roubar doce de criança :-)
A maioria das web applications vai dar acesso ao Sniffer se este conseguir o Session ID se um usuário que ainda está logado no sistema e poderá permitir que ele acesse importantes informações da vítima. Esta vulnerabilidade existe na maioria dos sites comerciais que provem vários serviços. Provedores de E-mail, Sites de Shopping, etc todos estão vulneráveis à este tipo de ataque se implementarem a autenticação desta forma.

sexta-feira, 1 de junho de 2012

Obama ordenou aumento de ciberataques contra sistemas de usinas nucleares do Irã, diz jornal

Obama ordenou aumento de ciberataques contra sistemas de usinas nucleares do Irã, diz jornal

O presidente dos Estados Unidos Barack Obama teria ordenado, já nos primeiros meses de mandato no cargo, que ataques “sofisticados” contra sistemas de computadores de usinas nucleares no Irã fossem intensificados, segundo reportagem do “New York Times” desta sexta (1º).
De acordo com participantes da ação, a decisão aumentou significativamente a primeira ação sustentada por armas cibernéticas do país. De acordo com o “New York Times”, Obama acelerou os ataques (iniciados na administração de George W. Bush), mesmo depois que o vírus, conhecido como Stuxnet, acidentalmente saiu das usinas nucleares iranianas e circulou na internet mundial.
O Stuxnet, desenvolvido em conjunto pelos Estados Unidos e Israel, foi descoberto por empresas de segurança logo após sua “fuga acidental” do Irã. O “New York Times” afirma que houve uma reunião logo após o ocorrido na Casa Branca, com a presença de Joe Biden, vice-presidente dos EUA, e o diretor da CIA (Agência Central de Inteligência) na época, Leon E. Panetta, na qual consideraram que o esforço “havia sido fatalmente comprometido”.
Obama teria perguntado “devemos desligar essa coisa?”, segundo membros da segurança nacional presentes na sala. Ao ser avisado que ainda não estava claro o quanto os iranianos sabiam sobre o código do vírus e que ele ainda estava “causando estragos”, Obama teria decidido continuar o ataque cibernético.
De acordo com o jornal americano, nas semanas seguintes, a usina nuclear iraniana de Natanz foi atacada com uma nova versão do vírus e mais uma vez depois também. Na última série de ataques, poucas semanas depois de o Stuxnet ser detectado no mundo, cerca de 1.000 a 5.000 centrífugas que enriquecem urânio foram paralisadas.
As informações foram obtidas pelo “New York Times” após 18 meses de entrevistas com ex-oficiais americanos, israelenses e europeus envolvidos na ação, além de outros especialistas.
O Irã inicialmente negou que suas usinas nucleares haviam sido atacadas por um vírus de computador, mas depois admitiram o fato. O país, após o ataque, criou uma unidade militar de ciberdefesa em 2011.
O governo dos Estados Unidso apenas recentemente admitiu desenvolver armas cibernéticas e nunca admitiu tê-las utilizado.