Há cerca de um mês, dois senadores sugeriram ao presidente dos Estados Unidos, Barack Obama - que usou a internet como 'arma' na sua campanha - criar um cargo, o de chefe nacional de Segurança Nacional Cibernética, para o primeiro escalão do governo. Mais recentemente, no fim de abril, a Casa Branca anunciou a criação de um comando militar específico para o ciberespaço. Os Estados Unidos, que se declaram em guerra contra o terrorismo, temem um ataque cibernético. E a situação não é diferente no Brasil.
"Não somos os pioneiros porque os americanos saíram na frente. Mas estamos na segunda leva que está se preocupando com isso e queremos ter um plano de segurança institucional", revela o diretor do Departamento de Segurança da Informação e Comunicações (DSIC), Raphael Mandarino Junior. O DSIC faz parte do Gabinete de Segurança Institucional da Presidência da República.
A ideia é criar uma espécie de plano de contingência nacional - ou como agir no caso de um ataque sério - especialmente às infraestruturas importantes, como transportes e comunicações. Parece coisa de cinema, mas não é. O raciocínio é de que um ataque virtual numa infraestrutura de informação pode causar sérios prejuízos à política de um país.
"Estamos estudando como proteger a infraestrutura crítica do País, aquilo que se parar traz consequências graves para o cidadão como, por exemplo, as telecomunicações, água, energia, transporte. E o que é que eu tenho a ver com a água? Como é que são trocadas as informações? Por meio da informática. A estrutura física da informação permeia todas as outras", explica Mandarino.
Parte do mundo passou a levar a segurança cibernética de forma mais séria, depois que a Estônia, onde até se vota pela internet, sofreu uma série de ataques entre abril e maio de 2007, que paralisaram não apenas os websites do governo, mas até os provedores de acesso. O maior banco do país ficou sem acesso à rede mundial, assim como as redes de telecomunicações. Enfim, os ataques deixaram a Estônia completamente fora da internet.
É uma preocupação recente e por isso mesmo ainda há muito para aprender. "Na verdade, a gente não sabe muito bem o quê está acontecendo. Está todo mundo aprendendo. Se você falar o que é guerra eletrônica, guerra de sinais, as pessoas sabem. O que é segurança, as pessoas sabem. Agora, defesa cibernética é algo que a gente está aprendendo", sublinha o diretor do DSIC.
Ele revela que muitas lições vêm de quem possui mais experiência com os problemas de invasões na rede. "O site mais atacado do mundo é o da Microsoft. E ela está repassando esse conhecimento ao governo americano e ao governo brasileiro, estamos trabalhando juntos", adianta Mandarino. Além disso, foram montados grupos de trabalho interministeriais para discutir áreas específicas.
"Estamos tratando a questão por partes. Formamos um grupo de comunicações, que se dividiu em três - telecomunicações, radiodifusão e postais. São três áreas de segurança diferentes. E precisamos tratar assim para evitar que uma falha prejudique a outra. Partimos da identificação de onde está o problema e estamos começando a montar esse desenho", antecipa Mandarino, que no entanto, não adianta maiores detalhes porque o tema é de Segurança Nacional.
terça-feira, 12 de maio de 2009
segunda-feira, 11 de maio de 2009
Google corrige séria falha de Cross-Site Scripting (XSS)
Até a última terça (5 de maio), o Google era vulnerável a Cross-Site Scripting em um dos links de sua página de suporte. O risco apresentado pela falha aumenta inúmeras vezes por um fator: o site vulnerável estava no domínio principal (google.com). Como o google usa este domínio para autenticação de seus usuários em todos os seus serviços\sites, era possível obter informações pessoais, enviar seu cookie para um script na web, roubar sua lista de contatos, ver seus documentos no Google Docs, e até adicionar gadgets em seu Igoogle.
A falha foi reportada pelo autor do SecureThoughts.com, que se identifica por “Inferno”, no dia 18/04/2009. A Google respondeu em apenas uma hora, mas a correção foi publicada apenas no dia 05/05/2009.
O script vulnerável foi programado em python, tem o nome de answer.py e fica localizado em http://google.com/support/webmasters/bin/answer.py .
O script declarava uma variável em javascript com o valor passado na variável cbid. Apesar de filtrar caracteres como “ (aspas), (espaço), <, >, {, }, o script não filtrava ‘ (aspa única). Este caractere era o suficiente para finalizar a declaração da variavel e começar a escrever o código java-script a ser injetado. Abaixo, uma prova de conceito que era válida, que exibiria um alerta com seu cookie:
http://google.com/support/webmasters/bin/answer.py?answer=34575&cbid=-1oudgq5c3804g‘;alert(document.cookie);//&src=cb&lev=index
Maiores detalhes e outras provas de conceito podem ser vistas neste post (em inglês)
Fonte: SecureThoughts.com
A falha foi reportada pelo autor do SecureThoughts.com, que se identifica por “Inferno”, no dia 18/04/2009. A Google respondeu em apenas uma hora, mas a correção foi publicada apenas no dia 05/05/2009.
O script vulnerável foi programado em python, tem o nome de answer.py e fica localizado em http://google.com/support/webmasters/bin/answer.py .
O script declarava uma variável em javascript com o valor passado na variável cbid. Apesar de filtrar caracteres como “ (aspas), (espaço), <, >, {, }, o script não filtrava ‘ (aspa única). Este caractere era o suficiente para finalizar a declaração da variavel e começar a escrever o código java-script a ser injetado. Abaixo, uma prova de conceito que era válida, que exibiria um alerta com seu cookie:
http://google.com/support/webmasters/bin/answer.py?answer=34575&cbid=-1oudgq5c3804g‘;alert(document.cookie);//&src=cb&lev=index
Maiores detalhes e outras provas de conceito podem ser vistas neste post (em inglês)
Fonte: SecureThoughts.com
Assinar:
Postagens (Atom)
