Detido, cracker adolescente austríaco fez 259 ataques em apenas três meses

Segundo polícia federal, jovem de 15 anos invadiu sistemas de empresas nacionais e estrangeiras por se sentir entediado.

Autoridades austríacas detiveram um adolescente de 15 anos suspeito de promover 259 ataques a sites em apenas três meses. Segundo a Polícia Federal do país, ele confessou o crime.

O jovem é acusado de roubar e danificar informações, obtidas ilegalmente de sites e banco de dados, além de publicá-las. Ele teria invadido o sistema de centenas de companhias e instituições públicas de diversos países entre janeiro e março deste ano.

Antes de iniciar a ofensiva o adolescente procurava vulnerabilidades e erros de programação nos possíveis alvos. Em seguida, utilizava uma ferramenta para roubar credenciais e dados pessoais, e, por vezes, os compartilhava pelo Twitter. Ele também tinha o costume de entrar em portais apenas para alterá-los – prática conhecida como defacing.

De acordo com a polícia, o jovem só praticou tais atos por se sentir entediado e porque queria provar a si mesmo do que era capaz. Os danos causados ainda não foram calculados, pois a investigação ainda está em curso.

O caso mostra o quão vulnerável grande parte dos sistemas é, falha que se torna ainda mais grave considerando a afinidade que os jovens hoje em dia possuem com a tecnologia, afirmou a ministra do interior da Áustria. Segundo ela, é comum encontrar novos hackers tentando construir uma identidade a partir de ataques ilegais e se tornando delinquentes. Embora pereçam simples travessuras, os delitos não deixam de ser bastante sérios.

Fonte: IDG Now!

Série Ataques: Saiba sobre os efeitos do redirecionamento arbitrário

O que são ataques de redirecionamento arbitrário de URL?

O redirecionamento ou encaminhamento é uma funcionalidade da aplicação em que o aplicativo de origem redireciona o acesso do usuário para outro localidade ou para alguma função dentro da própria aplicação. Um caso típico de utilização é o processo de autenticação: uma vez que o usuário tente acessar uma área restrita do aplicativo, ele automaticamente redireciona o cliente para o formulário de autenticação.

Em casos específicos, esta funcionalidade pode ser utilizada por um atacante para redirecionar um cliente legítimo para uma localidade arbitrária, transferindo, por exemplo, a confiança estabelecida pelo usuário do aplicativo legítimo para um sítio que contenha material malicioso.

O redirecionamento não representa uma vulnerabilidade de segurança direta, entretanto, ela pode ser explorada em ataques de phishing (engenharia social) fazendo o usuário acreditar que está em uma área de conteúdo legítimo e fornecendo credenciais ou dados sensíveis de maneira arbitrária. O ataque também pode ser utilizado de maneira extensiva para inflacionar sistemas de publicidade e remuneração por click.

Exemplo:

Um site vulnerável está encaminhando o usuário para uma localidade confiável (área de login):

http://www.vulneravel.com?redirect=http://www.vulneravel.com/login

Por não filtrar corretamente o tipo de parâmetro utilizado  na variável redirect, o aplicativo permite que um atacante construa um link para redirecionar o cliente legítimo para um sítio não confiável:

http://www.vulneravel.com?redirect=http://hacker.com/login

De posse deste link, o atacante só precisa convencer o usuário legítimo a carregá-lo em seu navegador ou, até mesmo, empregar técnicas de otimização para motores de busca (SEO) para que este link fique disponível caso um usuário faça uma busca pelo o sítio legítimo.

A partir desta chamada, o atacante pode empregar o mesmo estilo em um formulário falso para capturar as credenciais de acesso do usuário vítima e, então, redirecioná-lo novamente para o aplicativo legítimo.

Meu aplicativo está vulnerável ao ataque de URL Redirect/Forward ?

Por meio do exemplo acima, inferimos que a melhor forma de se descobrir se o seu aplicativo está vulnerável a este problema é testar todos os redirecionamentos existentes na interação com o usuário.

Navegue por toda a aplicação para verificar quais são as páginas que retornam códigos de redirecionamento (geralmente código de retorno 301 e 302) e teste a possibilidade de substituir parâmetros válidos por localizações externas e não relacionados ao seu aplicativo.

Para corrigir este problema, é sugerido que o seu aplicativo mantenha, se possível, uma lista das localidades permitidas e faça referência a elas por meio de códigos, evitando expor de maneira explícita a URL. Uma outra forma de tratar o problema é empregar criptografia ou hashing nos parâmetros de redirecionamento enviados, assegurando que o destino só poderia ser construído por meio de uma transação legítima dentro do sistema.

Qual o impacto e as principais consequências do ataque?

Os redirecionamentos arbitrários podem explorar essa vulnerabilidade para convencer o usuário a instalar malware ou programas que capturem senhas e outras informações confidenciais. Em situações específicas, podem ser utilizados também para pular controles de acesso.

Cenários:

  • A aplicação possue uma página chamada ‘redir.jsp’ que tem um parâmetro chamado ‘url’. O atacante usa uma URL maliciosa que redireciona os usuários para um site malicioso (utilizando phishing) e que pode instalar um malware (instala.exe).
http://www.exemplo.com/redir.jsp?url=atacante.com/instala.exe
  • Nesse outro exemplo, a aplicação usa um parâmetro para indicar para onde o usuário deve ser direcionado se uma transação for bem sucedida. O atacante pode modificar o tipo de localização para obter acessos a áreas restritas. Ex:
De: http://www.exemplo.com/correct.jsp?fwd=success.jsp
Para: http://www.exemplo.com/correct.jsp?fwd=admin.jsp
  • Os atacantes também pode melhorar o ataque de engenharia social ofuscando a URL redirecionada através de várias técnicas. Por exemplo, o URL abaixo mostra a mesma URL redirecionada, mas o ‘evil.com’ domínio foi convertido em seu equivalente hexadecimal.
http://www.exemplo.com/redir.jsp?url=http://%76%69%6c%2e%63%6f%6d/evil_page.html

Correção de códigos vulneráveis

Evitar as falhas de redirecionamento arbitrário é um ponto chave na gestão de vulnerabilidades e riscos de quaisquer aplicativos web, afinal, eles são um dos alvos prediletos dos fraudadores para ataques de engenharia social. As principais recomendações para mitigar os riscos são:

  • Tente evitar o uso de redirecionamentos e, se não for possivel, fazer por meio de variáveis de sessão sem a utilização de parâmetros HTTP;
  • Não informe a URL real no parâmetro, opte por um valor de referência que será traduzido do lado do servidor para a URL alvo;
  • Caso não seja possível utilizar as medidas anteriores, opte por utilizar criptografia ou hashing para os parâmetros de transporte do valor da URL.

OWASP Top 10 (A10)

O ataque de redirecionamento arbitrário de URL (Unvalidated Redirects and Forwards) é parte integrante da lista das 10 principais vulnerabilidades que afetam aplicativos web do OWASP. Para saber mais, veja a referência abaixo:

Como a Rede Segura pode te ajudar?

A RedeSegura possui uma solução completa para gestão de vulnerabilidades em aplicativos web, seja qual for o seu tipo de indústria e tamanho do seu aplicativo. Saiba mais detalhes sobre nossa metodologia:

Contate-nos ainda hoje para obter mais detalhes da nossa solução e como podemos ajudá-lo na missão de manter seus aplicativos web seguros.