Segurança em Web 2.0 Paola Garcia Juarez Tóp.Especiais em Aplicações na Internet Professores: Claudia Motta Carlo Oliveira Objetivo Mostrar alguns temas relacionados às amenaças de segurança que são típicas em um ambiente Web 2.0 . Agenda • Motivação • Web 2.0 e segurança • Aspectos chaves na segurança de sistemas Web 2.0 • Vulnerabilidades mais importantes na Web 2.0 Motivação Fonte: http://www.youtube.com/watch?v=X5x7tX4zpRY Web 2.0 e segurança • As ameaças de segurança colocados pela Web 2.0 são, resultado das novas utilizações da tecnologia Web 2.0 que oferece. • Exemplos dessas tecnologias incluem AJAX, widgets, plataformas e aplicações, tais como blogs, wikis e redes sociais. Aspectos chaves da Web 2.0 • Conteudo gerado pelo usuario: Diferente do Web 1.0, os sistemas Web 2.0 são considerados como uma “web participativa” porque dependem do conteudo gerado pelo usuario. • Mashups e serviços web: Web 2.0 inclui interfaces para permitir a comunicação com outros sistemas Web 2.0, usando geralmente um API comun, o Web Services, baseado em XML. Aspectos chaves da Web 2.0 • Convergência de usuarios e mundo empresarial: O Web 2.0 não deixa claro o limite entre uma organização e do mundo real. • Diversidade de software cliente: Variedade de plataformas de hardware (OS, celulares), software cliente executados fuera do browser (desktop widgets), ventanas de browser compartilhadas (web sites pessoais). Vulnerabilidades mais importantes de Web 2.0 Insuficientes controles de autenticação: existe um risco de que uma pessoa menos experiente pode fazer uma alteração que afecta o sistema global. Cenarios: ▫ Senhas fracas ▫ Controlos insuficientes para ataques de Força bruta ▫ Senhas não encriptadas ▫ Assinação simple Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Cross site scripting (XSS): uma entrada maliciosa enviada por um atacante é armazenada pelo sistema e, em seguida, exibida para outros usuários. Cenarios: ▫ Entradas ilimitadas dos usuarios Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Cross Site Request Forgery (CSRF): Enquanto a vítima visita uma aparentemente inofensiva, mas maliciosa Web site, o codigo malicioso do site gera solicitudes para um site diferente onde a vitima tem acessos. Cenarios: ▫ Credenciais compartilhadas entre gadgets ▫ CSRF usando solicitudes AJAX ▫ Longas sesões Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Phishing: Ao usar o e-mail para dirigir às vítimas a um falso site, o phishing não está baseado em vulnerabilidades de software. A clara diferenciação entre o falso e o verdadeiro site que imita, é um elementochave na prevenção desde tipo de fraudes. Cenarios: ▫ Informações falsas ▫ Contenidos falsos usados pelo phising ▫ XSS explotado pelo phishing Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Injeção de erros: Ao depender maiormente do código ingressado pelo cliente, as aplicações Web 2.0 frequentemente realizam algumas entradas de validação que um invasor pode ignorar. Cenarios: ▫ XML injection ▫ Json injection Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Integridade da informação: Mesmo se as alterações introduzidas não são mal intencionados, adicionar erros individuais, pode conduzir a uma grande distorção da verdade, quando são combinadas em uma única história. Cenarios: ▫ Usuarios autenticados fraudulenta ▫ Moinho de rumores publicam informação Vulnerabilidades mais importantes de Web 2.0 Vulnerabilidades mais importantes de Web 2.0 Insuficiente anti automatização: As interfaces dos aplicativos Web 2.0 permitem ao atacante automatizar ataques. Uma aplicação Web 2.0 deve incluir mecanismos anti-automação não comumente encontrados para evitar este tipo de ataque. Cenarios: ▫ Web Spam ▫ Abertura automática de contas de usuarios Vulnerabilidades mais importantes de Web 2.0 Conclusão Web 2.0 é um conjunto de tecnologias, e um conjunto de comportamentos do consumidor. A combinação destes dois elementos tem criado uma enorme oportunidade para atacantes para explorar recursos online para "divertimento e lucro." É importante compreender as implicações destes novos riscos, particularmente quando se considera usar tecnologias da Web 2.0 para uso profissional e comercial.