Erros Relacionados com a Interac��o Insegura Entre Componentes

Nesta categoria de erros est�o inclu�das falhas relacionadas com formas inseguras de envio e recep��o de dados entre componentes, m�dulos, programas, threads, ou sistemas separados.

1. Valida��o impr�pria de entradas

Segundo os respons�veis pelo relat�rio "2009 CWE/SANS Top 25 Most Dangerous Programming Errors", este � o erro que mais vitima o software. Os problemas surgem quando n�o � garantido que as entradas s�o conformes �s expectativas. Por exemplo, um identificador que deva ser num�rico de acordo com as expectativas, nunca poder� conter letras. O pre�o de um carro novo tamb�m nunca dever� admitir a quantia de um euro, apesar da crise econ�mica actual!

Se n�o � programador, conv�m n�o esquecer que as aplica��es t�m normalmente requisitos de valida��o bem mais complexos do que estes dois exemplos simples. O que importa aqui � que a valida��o incorrecta de entradas pode conduzir a vulnerabilidades quando os atacantes conseguirem modificar as suas entradas de formas inesperadas. Muitas das vulnerabilidades actuais mais comuns podem ser eliminadas, ou pelo menos reduzidas atrav�s da utiliza��o de uma valida��o adequada de entradas.

2. Codifica��o ou sa�da impr�pria de resultados

Os computadores t�m o estranho h�bito de fazer aquilo que lhe mandamos fazer e n�o aquilo que quer�amos que eles fizessem. Ou seja, mandamos fazer uma coisa, mas na realidade quer�amos que fizessem outra. A codifica��o de resultados insuficiente conduz muitas vezes a uma fraca valida��o de resultados e pode abrir caminho a ataques. Um atacante pode modificar os comandos que um utilizador leg�timo queria enviar a outros componentes, o que poder� provocar uma completa coopera��o por parte da aplica��o. Al�m disso, est�-se a expor os outros componentes a utiliza��es que o atacante n�o conseguiria directamente. Isto provoca uma transforma��o da ordem dada�- deixando de ser "faz aquilo que o utilizador leg�timo quer" para passar a ser "faz aquilo que o atacante diz".

Quando um programa gera resultados (sa�das) para outros componentes sob a forma de mensagens estruturadas�- por exemplo, queries ou pedidos�- precisa de separar a informa��o de controlo e os metadados dos dados reais. Mas isto � f�cil de esquecer, dado que muitos paradigmas transportam dados e comandos juntos no mesmo fluxo, apenas com alguns caracteres especiais a delimitarem as fronteiras. Como exemplo podemos referir a Web 2.0 e outras frameworks cujo funcionamento esbate estas fronteiras, aumentando a exposi��o a ataques.

3. Falha em preservar a estrutura de query SQL

Actualmente, parece que o software s� tem a ver com dados�- coloca��o de dados na base de dados, recupera��o de dados a partir da base de dados, transforma��o dos dados em informa��o, e envio dos dados para qualquer outro local. Se os atacantes conseguirem influenciar a SQL que utilizamos para comunicar com a nossa base de dados, poder�o provocar grandes estragos.

Se utilizarmos queries SQL em controlos de seguran�a�- como autentica��o, por exemplo�- os atacantes poder�o alterar a l�gica dessas queries para contornarem a seguran�a. Podem modificar as queries para roubar, corromper, ou alterar dados. Se for necess�rio, podem mesmo roubar um byte de cada vez, dado que t�m a paci�ncia e os conhecimentos necess�rios para fazer isso.

4. Falha em preservar a estrutura de p�gina Web

O cross-site scripting (XSS) � uma das vulnerabilidades mais comuns, persistentes e perigosas que afectam as aplica��es Web. � quase inevit�vel quando se combina a natureza do HTTP, a mistura de dados e de script no HTML, uma grande quantidade de dados a passar entre sites Web, v�rios esquemas de codifica��o e browsers ricos em termos de funcionalidades. Se n�o tivermos cuidado, os atacantes podem injectar Javascript ou outro conte�do execut�vel numa p�gina Web gerada pela nossa aplica��o.

A nossa p�gina Web � ent�o acedida por outros utilizadores, cujos browsers executam o script malicioso como se viesse do utilizador leg�timo (algo que aconteceu na realidade). De repente, o nosso site Web est� a servir c�digo que n�s n�o escrevemos. Os atacantes podem utilizar v�rias t�cnicas para intervirem directamente no nosso servidor.

5. Falha em preservar a estrutura de comando OS

O nosso software � frequentemente a ponte entre o exterior da rede e o interior do nosso sistema operativo. Quando invocamos outro programa no sistema operativo e permitimos entradas (que possam n�o ser de confian�a) na sequ�ncia de comando que geramos para executar esse programa, estamos a convidar os atacantes a passarem a ponte e a executarem os seus pr�prios comandos em vez dos nossos.

6. Transmiss�o de informa��o sens�vel sob a forma de texto percept�vel

Se o nosso software enviar informa��o sens�vel atrav�s de uma rede�- por exemplo, dados privados ou credenciais de autentica��o�- essa informa��o vai passar por diferentes n�s at� chegar ao destino. Os atacantes podem aceder a esses dados atrav�s da rede sem grande esfor�o. Precisam apenas de controlar um qualquer n� ao longo do caminho, ou ligar-se a uma interface dispon�vel. A tentativa de ofuscar o tr�fego atrav�s da utiliza��o de esquemas como o Base64 e a codifica��o URL n�o representa qualquer protec��o. Estas codifica��es destinam-se � normaliza��o das comunica��es e n�o � mistura de dados para os tornar ileg�veis.

7. Imita��o de pedidos entre sites (ou CSRF)

Todos sabemos que n�o se deve aceitar nenhum embrulho ou bagagem de estranhos no aeroporto, uma vez que o conte�do pode ser perigoso. Se alguma coisa correr mal, somos n�s os respons�veis, porque �ramos n�s os transportadores do embrulho � entrada para o avi�o, ou a bagagem consta no nosso check-in. A imita��o de pedidos entre sites�- ou Cross-Site Request Forgery (CSRF)�- � como um desses estranhos embrulhos ou bagagem. A diferen�a neste caso � que o atacante procura levar um utilizador leg�timo a activar um pedido que vai para o nosso site. Gra�as ao scripting e � forma geral de funcionamento da Web, o utilizador at� pode n�o ter consci�ncia de que est� a enviar o pedido.

Quando o pedido chega ao servidor, parece ser oriundo do utilizador leg�timo e n�o do atacante. Isto pode n�o parecer muito relevante, mas a verdade � que o atacante se mascarou de utilizador leg�timo e conseguiu todo o acesso potencial concedido ao utilizador leg�timo. Isto � especialmente �til quando o utilizador leg�timo tem privil�gios de administrador, podendo assim ficar comprometida toda a funcionalidade da aplica��o. Quando combinada com o XSS, o resultado pode ser devastador.

8. Situa��o de concorr�ncia

Os acidentes de tr�fego ocorrem quando dois ve�culos tentam utilizar o mesmo recurso ao mesmo tempo. Ou seja, quando tentam utilizar a mesma parte da estrada. As situa��es de concorr�ncia no nosso software n�o s�o muito diferentes, excepto no facto de um atacante procurar explor�-las de forma consciente para causar o caos ou para fazer com que a nossa aplica��o lhe forne�a algo valioso. Em muitos casos, uma situa��o de concorr�ncia pode envolver m�ltiplos processos, com o atacante a ter o controlo total de um processo.

Mesmo quando a situa��o de concorr�ncia ocorre entre m�ltiplos threads, o atacante pode ser capaz de influenciar quando alguns desses threads s�o executados. Nestas situa��es de concorr�ncia, a corrup��o de dados e a nega��o de servi�o s�o a norma. O impacto destes ataques pode ser local ou global, dependendo daquilo que � afectado pela situa��o de concorr�ncia�- por exemplo, vari�veis de estado ou l�gica de seguran�a�- e se ocorre dentro de m�ltiplos threads, processos, ou sistemas.

9. Fuga de informa��o de mensagem de erro

Se utilizarmos mensagens de erro muito informativas, estas podem desvendar segredos a qualquer atacante que utilize o nosso software de forma abusiva. Os segredos podem abarcar um leque alargado de dados valiosos, incluindo informa��o identific�vel pessoalmente (PII�- Personally Identifiable Information), credenciais de autentica��o e configura��o do servidor.

Por vezes, podemos pensar que se trata de segredos inofensivos que s�o convenientes para os utilizadores e administradores leg�timos�- por exemplo, o caminho completo de instala��o do software. No entanto, mesmo estes pequenos segredos podem simplificar muito um ataque concertado. Esta � uma preocupa��o a ter em conta, independentemente de se enviarem mensagens de erro tempor�rias para os utilizadores leg�timo, ou de se registarem de forma permanente num ficheiro log.

Baseado no relat�rio ?2009 CWE/SANS Top 25 Most Dangerous Programming Errors? de 12 de Janeiro de 2009.

Topo

Agenda

Destaques