Pontifícia Universidade Católica de Campinas Programação Segura Pontifícia Universidade Católica de Campinas Tópicos em Engenharia Computação B Prof. Edmar Roberto Santana de Rezende Daniel Mome Rafael G. O. Santos Ronaldo R. Nascimento Sílvia R. L. Colella

Sumário Introdução Motivação Principais Bugs de Segurança Dicas Validação dos dados no servidor Data Tampering Buffer Overflow SQL Injection Script Injection Cross-Site Scripting Dicas

Motivação Por quê?

Motivação Ataques exploram falhas de segurança Pequenos bugs podem derrubar sistemas inteiros Empresas dependem dos sistemas de informação

Motivação Aumento da qualidade Relacionada com a ocorrência de erros

Principais Bugs de Segurança

Validação de entrada no cliente e no servidor Praticamente todo ataque é resultado de alguma entrada enviada pelo atacante. Programação segura é sobre não permitir que entradas de pessoas com mas intensões causem problemas. Entradas que levam um comportamento inapropriado do sistema. Entradas que permitem acesso a informações restritas do seu sistema.

Todo Input é suspeito Em um ambiente distribuido, não há apenas uma fronteira, mas varias. Programadores tendende a ver a relação cliente servidor como fazendo parte do sistema e não como algo aberto a ataques Cliente é realmente o cliente? O servidor é realmente o servidor? Até onde se pode confiar? O que uma ma entrada entrada pode causar? Espere o Inesperado.

Falha de seguraça no Gmail descoberta em 2006 Cross-Site Request Forgery Acesso indevido a lista de contatos Bastava acessar página maliciosa enquanto logado no Gmail Na pagina maliciosa : <script src="http://mail.google.com/mail/?_url_scrubbed_"> Recebia como resposta a lista de contatos.

Data Tampering Consiste no envio de dados cuidadosamente preparados para serem aceitos pela aplicação mas gerar um efeito colateral não previsto pelo desenvolvedor. Exemplos típicos envolvem montar comandos na linguagem de script, comandos SQL, comandos JavaScript ou tags HTML que serão executados pela aplicação. Ou então enviar chaves de registros, comandos da aplicação, identificadores de sessão e outros parâmetros utilizados internamente pela aplicação.

Data Tampering Principais tipos Buffer Overflow Script Injection SQL Injection Cross-Site Scripting

Buffer Overflow - Overview Ocorre quando o tamanho de um buffer ultrapassa sua capacidade de armazenamento Excesso de dados pode ser armazenado em áreas de memória próximas

Buffer Overflow - Consequências Travar um sistema Corromper dados Executar outros programas

Buffer Overflow - Exemplo

Script Injection O que é? Script Injection é a forma de inserir código de script (Javascript por exemplo) ou tags HTML em requisições que vão para o servidor ou em respostas do servidor para o cliente.

Script Injection Onde fica o perigo? Se alguma informação fornecida pelo usuário é posteriormente exibido em uma página HTML, o cracker pode inserir dados contendo código malicioso que posteriormente será executado pelo servidor ou pelo próprio browser do cliente.

Script Injection Desta forma pode-se: Iludir o usuário, fazendo o pensar que está em outra página Criar links que fazem o usuário executar uma ação quando pensa estar fazendo outra coisa

Script Injection Tomar cuidado Com código Javascript pode-se realizar ações sem depender da iniciativa do usuário. Várias tags HTML provocam ações imediatas, ex: <img>, <iframe>. Além de atributos como onLoad, onMouseOver Se a linguagem de script do servidor suportar avaliação de expressões em texto (a maioria suporta) é possível inserir código a ser executado no próprio servidor que hospeda a aplicação, e não no navegador do usuário.

Script Injection Como se defender Elimine do texto digitado pelo usuário tudo o que se parecer com tags HTML e comandos de Script. Antes de exibir em uma página qualquer informação obtida de uma fonte externa, valide a informação para eliminar o significado especial de símbolos como < & $ ;` . Considere como fontes externas não apenas os campos digitados pelo usuário, mas também cookies, variáveis de ambiente, arquivos anexados, campos de banco de dados e etc.

SQL Injection SQL Injection é uma das formas mais conhecidas de se fazer ataques em sistemas. Principalmente em sistemas WEB. É a forma de inserir comandos SQL ou de alterá-los, em ataques, através de campos de formulários, para realizar operações em banco de dados.

SQL Injection Onde fica o perigo? Muitos programadores constroem comandos SQL (no desenvolvimento de sistemas) utilizando concatenação de strings. A maioria dos bancos de dados é capaz de receber um lote de comandos em uma única mensagem e executar a todos. Desta forma, o cracker pode modificar os comandos SQL da aplicação e fazer praticamente qualquer coisa.

SQL Injection Exemplo código vulnerável

SQL Injection Solução

SQL Injection Principais strings de ataque:

SQL Injection Dicas Sempre faça a validação das entradas do usuário, restringindo determinados caracteres. As conexões que o usuário estabelece através da aplicação devem possuir restrições, deve permitir somente operações que realmente podem ser realizadas por este usuário.

SQL Injection Nunca culpe o usuário

Cross-Site Scripting (XSS) Ocorre quando um invasor usa uma aplicação Web para enviar código malicioso, geralmente na forma de um script, para um outro usuário final. Acontece sempre que uma aplicação Web utiliza a entrada do usuário sem validá-la. O navegador não tem como saber se vem de uma fonte confiável ou não => ele assume e confia no usuário fonte, permitindo que o script seja executado.

Cross-Site Scripting (XSS) O script malicioso pode ter acesso a qualquer cookie, tokens de sessão ou outra informação sensível retida no navegador web e usada naquele site. Estes scripts podem até mesmo rescrever o conteúdo da página HTML. Uma única aplicação na Intranet que contenha o bug pode ser utilizada como meio de inserir esse código malicioso!

Ataques XSS Ataques XSS podem geralmente ser classificados em duas categorias: Armazenamento e Reflexão. Ataques de armazenamento: o código injetado fica permanentemente armazenado nos servidores alvo (um banco de dados, em mensagem de fórum, log de visitantes, campos de comentário, etc.) A vítima então recupera o script malicioso do servidor quando requisita a informação armazenada.

Ataques XSS Ataques de reflexão: o código injetado é refletido pelo servidor web, por meio de uma mensagem de erro, resultado de procura ou qualquer outra resposta que inclua alguma ou toda entrada enviada para o servidor como parte da requisição. Ataques de reflexão são enviados para as vítimas através de outra rota, com por meio de mensagem de correio eletrônico ou algum outro servidor Web. Quando um usuário é ludibriado a clicar em um link malicioso ou submeter um formulário especialmente manipulado, o código injetado viaja para o servidor Web vulnerável, que reflete o ataque de volta para o usuário do navegador. O navegador então executa o código pois ele vem de um servidor confiável.

XSS – Consequências dos Ataques XSS pode causar uma variedade de problemas para o usuário final com uma extensão de severidades desde de aborrecimento até o comprometimento completo da conta. A maioria dos ataques severos de XSS envolve a exposição do cookie de seção do usuário, permitindo ao invasor sequestrar a sessão do usuário e se apoderar da conta. Outros ataques danosos incluem a exposição de arquivos do usuário, um invasor modificar um press release ou uma notícia que pode afetar as ações de uma companhia ou diminuir a confiança do consumidor.

XSS – Como se proteger Garantir que a aplicação realize validação de todos os cabeçalhos, cookies, strings de consulta, campos de formulário e campos escondidos (i.e., todos os parametros) contra uma rigorosa especificação do que pode ser permitido. Codificar a saída fornecida pelo usuário pode ajudar a derrotar as vulnerabilidades XSS previnindo scripts inseridos de serem transmitidos para usuários em formato executável. Política de Segurança ‘Positiva‘: especifica o que é permitido. 'Negativa' ou política de segurança baseada em assinaturas são difíceis de manter e possivelmente incompletas.

Dicas de Programação Segura Projete o programa com cuidado antes de começar. Esteja certo de que está entendendo o que você está programando. Considere o ambiente no qual ele será executado: o comportamento de entradas e de saídas, os arquivos usados, os argumentos reconhecidos, os erros encontrados nas validações –> Importante! Tente listar todos os erros que podem ocorrer e como irá lidar com eles.

Dicas de Programação Segura Documente o programa antes de começar a codificá-lo. Escreva no papel a teoria das operações do código, descrevendo o que fazer e como ele vai fazer. Destaque os módulos mais complexos. Importante! Revise o documento enquanto codifica. Se não puder / fizer, considere escrever um manual completo – será então possível preservar o foco no código e no que ele deve fazer. Faça com que a parte crítica do seu problema fique com o menor tamanho possível.

Dicas de Programação Segura Pense antes de adicionar novas funcionalidades simplesmente porque pode. Adicione somente quando tem necessidade. Quanto menor o tamanho do seu código, menor a possibilidade de introduzir bugs e mais você entende como o código realmente funciona. Tente nao reescrever funções de biblioteca padrão. Embora tenham sido encontrados bugs em funções de biblioteca padrão, é mais provável que você introduza bugs novos e ainda mais perigosos. Cuidado com condições de corrida. Elas podem se transformar em deadlock ou em uma falha quando duas chamadas são executadas uma perto da outra.

Fim