Os administradores de rede e os problemas de segurança do modelo OSI

Hoje em dia um administrador que é moldado por meio de cursos tecnicos e que nao lê constantemente artigos tecnicos em sites de segurança vai certamente aplicar no seu meio de trabalho todas as regras de segurança impostas. ACLs bem configuradas, trafego que apenas sai nao entra e vice-versa. Direitos de leitura escrita para determinadas estações de trabalho, bloqueio de determinados sites e protocolos e estabelecimento de ‘trusted sites’.

Tudo bem ele também tem um servidor web que oferece serviços por meio da Intranet local e um outro servidor que oferece serviços de paginas dinamicas a web inteira localizado numa DMZ.

O atacante depois de perceber que nao consegue acesso a rede interna da empresa, nota que existem aplicações dinamicas nas paginas web com linguagem de scripts e base de dados. Antes havia tentado mapear a rede a procura de routers e hosts, mas muitos pacotes echo e snmp eram barrados por meio de regras na Firewall. Também nota que nao consegue uma ‘reverse connection’ porque nao conhece a rede interna da empresa.

Parece ser uma rede intransponivel, mas antes disso consulta o modelo OSI e nota um aspecto importante:

Os dados tanto podem vir das camadas de baixo para cima como das camadas de cima para baixo. Aí ele começa por realizar testes de injecção de comandos SQL nas paginas dinamicas e descobre que nao só eles nao sao barrados como inclusive ele consegue por meio de ‘requests’ conhecidas respostas do servidor de base de dados.

Depois de algum tempo o mesmo faz um mapeamento da base de dados (tabelas de usernames, news, cadastros, bank ids etc) e descobre que também tem acesso a ‘stored procedures’.

Depois de tudo analisado, pensa que afinal pode tirar proveito da pagina de cadastro dos clientes, e como sabe que pode modificar conteudo da pagina por meio de comandos sql, o mesmo insere instruções contendo um link que supostamente baixa um teclado seguro para o usuario, mas que na realidade contem um caminho para um arquivo malicioso que ora instalado na maquina do usuario grava teclas ou passwords e as envia para um servidor ou correio electronico, cuja localização é de dificil rastreio porque a mesma passa por diferentes estações de trabalho em diferentes ISPs.

Depois de conseguir acesso a inumeras contas, o mesmo decide deixar um recado, envia uma request para apagar toda base de dados de posts e em seguida envia um novo post contendo uma mensagem de insulto ao administrador da rede da empresa.

Como podemos ver tudo foi realizado na camada de aplicação sem necessidade de se recorrer as camadas inferiores. Tudo isto tem acontecido hoje em dia, sem qualquer apelo a fantasia, nao é necessario mais ganhr acesso a dispositivos da camada de rede (para quê) ja que o atacante até muitas das vezes consegue acesso a estas camadas por meio da camada de aplicação (exemplo disso sao frontends web de dispositivos de rede).

Então meu amigo pense que acima de tudo ter uma rede bem elaborada significa também olhar para as questões da camada de aplicação do modelo OSI, porque estas sao muito importantes (quase tudo se faz hoje em dia por meio dessa camada). Alguns passos podem ser necessarios para este efeito:

1 – Filtre bem os pedidos recebidos via POST e GET nos seus scripts web.

2 – Instale um modulo de filtragem se usa apache (www.modsecurity.org) ou um WAF conhecido se usa Windows servers.

3 – Instale um IDS como o SNORT e desenhe regras de filtragem.

4 – Forçar cadastro e sessões autenticadas para realizações de operações.

5 – Usar duas camadas de filtragem. na interacção com o cliente e na resposta da aplicação no servidor.

6 – Outros truques.

New tools to block and eradicate SQL injection

The MSRC released an advisory today that discusses the recent SQL injection attacks and announces three new tools to help identify and block these types of vulnerabilities. The advisory discusses the new tools, the purpose of each, and the way each complements the others. The goal of this blog post is to help you identify the best tool to use depending on your role (i.e. Web Developers vs. IT administrators).

link: technet

A importancia de Firewalls baseados na web a fim de proteger recursos da empresa

De que adianta investir em recursos de segurança para a sua rede interna se você nao pode proteger seu website (e seus cartoes de credito e informações de clientes, etc) dinamico contra ataques de Cross Site Scripting (XSS) e Injecção de comandos SQL (SQL Injection) ?.

Este documento pretende demonstrar como Firewalls baseados na Web sao importantes para protecção dos dados da sua infraestrutura de informação.

Prevenindo ataques de SQL Injection

Este documento da Oracle dá algumas dicas de o que é e como se proteger de ataques de injecção de comandos SQL, muito comuns hoje em dia.