Erros Relacionados com Defesas Perme�veis

A categoria de erros que tornam as defesas perme�veis ao n�vel do software est� relacionada com t�cnicas defensivas que s�o frequentemente mal utilizadas, adulteradas, ou simplesmente ignoradas.

19. Controlo de acesso inadequado

Suponha que est� a dar uma festa em sua casa para alguns amigos mais chegados e convidados desses amigos. Convida toda a gente para a sala de estar, mas enquanto conversa distraidamente com um dos seus amigos, um outro convidado vai ao seu frigor�fico sem autoriza��o, vasculha o arm�rio onde guarda os seus medicamentos e vai bisbilhotar no seu quarto de dormir.

O software enfrenta problemas de autoriza��o semelhantes, mas que podem ter consequ�ncias mais graves. Se n�o garantirmos que os utilizadores do nosso software s� fazem aquilo que lhes � permitido fazer, os atacantes ir�o tentar explorar as autoriza��es inadequadas e experimentar funcionalidades n�o autorizadas que estavam destinadas apenas a utilizadores restritos.

20. Utiliza��o de um algoritmo criptogr�fico quebrado ou inseguro

Se estivermos a lidar com dados sens�veis, ou precisarmos de proteger um canal de comunica��o, � prov�vel que utilizemos criptografia para nos protegermos contra potenciais atacantes. Podemos ser tentados a desenvolver o nosso pr�prio esquema de encripta��o, procurando que o mesmo seja dif�cil de quebrar por atacantes.

No entanto, este tipo de criptografia ?caseira? � bem vista pelos atacantes. Na realidade, a criptografia � bastante dif�cil de desenvolver. Mesmo os matem�ticos e cientistas inform�ticos mais brilhantes n�o conseguem uma garantia de seguran�a completa (e a vida deles � suplantar os esfor�os uns dos outros nesse sentido). Podemos pensar que acab�mos de criar um algoritmo completamente novo que ningu�m conseguir� quebrar, mas o mais prov�vel � que tenhamos reinventado a roda e que esta nem consiga resistir ao primeiro ataque.

21. Palavra de passe hard-coded

� extremamente conveniente proceder ao hard-coding de uma conta e palavra de passe secretas no m�dulo de autentica��o do nosso software. Esta pr�tica pode reduzir os or�amentos de teste e de suporte, mas tamb�m pode reduzir a p� a seguran�a dos nossos clientes. Se a palavra de passe for a mesma em todo o nosso software, todos os clientes ficam vulner�veis se essa palavra de passe for desvendada.

Uma vez que se trata de hard-coding, normalmente os administradores de sistema ter�o grandes dificuldades em solucionar o problema. E todos sabemos como os administradores de sistemas gostam de inconveni�ncias �s tantas da madrugada, quando as suas redes est�o a ser atacada. Neste conjunto de artigos sobre os 25 erros de programa��o mais perigosos, podemos dizer que todos eles podem ser explicados como erros honestos, mas os clientes do software que passam pelos problemas n�o ver�o as coisas da mesma forma.

22. Atribui��o de permiss�es inseguras para recursos cr�ticos

� rude pegar em algo sem antes pedir permiss�o, mas os utilizadores sem escr�pulos (ou seja, os atacantes) est�o dispostos a gastar algum tempo para ver at� onde podem ir. Se tivermos programas cr�ticos, armaz�ns de dados, ou ficheiros de configura��o com permiss�es que possibilitem a leitura e escrita de recursos por todo o mundo, isso acabar� por acontecer mais cedo ou mais tarde. Apesar deste problema poder n�o ser considerado durante a implementa��o ou desenho, por vezes � nessas fases que a solu��o precisa de ser aplicada. Deixar esta quest�o para que um administrador de sistema atarefado se aperceba do problema e efectue as altera��es adequadas, � um procedimento que fica muito aqu�m do �ptimo ? e que �, por vezes, imposs�vel.

23. Utiliza��o insuficiente de valores aleat�rios

Imagine um casino de Las Vegas em que os jogadores pudessem prever o pr�ximo resultado do lan�amento dos dados, o n�mero da roleta, ou as cartas. Rapidamente teria que fechar as portas. Se utilizarmos funcionalidades de seguran�a que requerem uma grande aleatoriedade n�o a fornecermos, termos atacantes a dar gargalhadas de contentes. Podemos depender da aleatoriedade mesmo sem a conhecermos, como acontece aquando da gera��o de IDs de sess�o ou de nomes de ficheiros tempor�rios.

Os pseudo geradores de n�meros aleat�rios (ou PRNG - Pseudo-Random Number Generators) s�o muito utilizados, mas existem v�rias coisas que podem correr mal. Logo que um atacante consiga determinar qual o algoritmo que est� a ser utilizado, poder� adivinhar o n�mero aleat�rio seguinte com a frequ�ncia suficiente para lan�ar um ataque bem sucedido depois de um n�mero relativamente pequeno de tentativas.

24. Execu��o com privil�gios desnecess�rios

O conhecido super-her�i Homem Aranha vive de acordo com a m�xima que diz o seguinte: ?o grande poder implica grande responsabilidade?. O nosso software poder� precisar de privil�gios especiais para realizar certas opera��es. No entanto, ser� extremamente arriscado utilizar esses privil�gios durante mais tempo do que o estritamente necess�rio. Quando se est� a correr o software com privil�gios extra, a aplica��o tem normalmente acesso a mais recursos do que aqueles que o utilizador imagina num dado momento.

Por exemplo, podemos lan�ar intencionalmente um programa separado e esse programa permitir que o seu utilizador especifique um ficheiro a abrir. Esta funcionalidade est� frequentemente presente em utilit�rios de ajuda ou editores. O utilizador poder� ent�o aceder a ficheiros n�o autorizados atrav�s do programa que foi lan�ado, gra�as aos privil�gios extra. A execu��o de comandos pode acontecer de forma similar. Mesmo que n�o lancemos outros programas, as vulnerabilidades adicionais do nosso software poder�o ter consequ�ncias mais s�rias do que se estiv�ssemos a correr o programa com um n�vel mais baixo de privil�gios.

25. Imposi��o no lado do cliente da seguran�a do lado do servidor

Os clientes com mais capacidades podem efectuar ataques mais elaborados, caso confiemos aos clientes a realiza��o de verifica��es de seguran�a em representa��o do nosso servidor. Conv�m termos em conta que por baixo do GUI est� apenas c�digo. Os atacantes poder�o proceder ao reverse engineering do nosso cliente e escrever os seus pr�prios clientes, deixando de lado certas funcionalidades inconvenientes, nomeadamente os controlos de seguran�a.

As consequ�ncias podem variar muito, dependendo daquilo que as nossas verifica��es de seguran�a est�o a proteger. No entanto, alguns dos alvos mais comuns s�o a autentica��o, autoriza��o e valida��o de entradas. Se tivermos implementado seguran�a nos nossos servidores, precisamos de nos assegurar que n�o nos baseamos apenas nos clientes para impor essa seguran�a.

Baseado no relat�rio ?2009 CWE/SANS Top 25 Most Dangerous Programming Errors? de 12 de Janeiro de 2009.

Topo

Agenda

Destaques