Correção de vulnerabilidade do ASP.NET que permitia ataques de negação de serviço

Nos últimos dias de 2011, a Microsoft lançou um comunicado e, posteriormente, a correção de uma vulnerabilidade presente em todas versões do ASP.NET que poderia permitir ataques do tipo Denial of Service (DoS), ou negação de serviço. Essa vulnerabilidade permitia que uma requisição HTTP especialmente montada consumisse 100% da CPU durante um período de tempo, fazendo com que repetidas requisições degradassem a performance da aplicação, causando a indisponibilidade do serviço.

A causa da vulnerabilidade está na forma como o ASP.NET mapeia os valores de campos de formulários recebidos em um POST HTTP para estruturas do tipo hash tables, que poderia causar problemas de colisões de chaves hash. A correção disponibilizada pela Microsoft limita a 1.000 o número de campos de formulários que uma aplicação ASP.NET pode receber. Se a requisição possuir mais de 1.000 campos de formulários, ocorrerá um erro. Esse número máximo pode ser alterado através da propriedade MaxHttpCollectionKeys, a ser configurada no web.config. A recomendação é que a atualização seja aplicada o mais rápido possível. É interessante notar que esse problema não é exclusividade do ASP.NET. Outros frameworks web e linguagens como PHP, Java, Phyton e Ruby também estão sucetíveis a esse tipo de ataque. Mais informações nos links abaixo:

 

 

Como manipular informações em benefício próprio

Quando você acha que já viu de tudo nesse mundo, sempre aparece algo para surpreender! A Red Hat, famosa por sua distribuição Linux, acha que o seu sistema operacional é melhor que o Windows só porque corrigiu mais falhas de segurança do que a Microsoft. E ainda teve a cara-de-pau de usar uma pesquisa da própria Microsoft pra chegar a esta conclusão! Os mais irônico é que o nome do blog onde esta mensagem foi escrita é "Truth Happens".

Ora, mas qual sistema é mais seguro: o que apresenta muitas falhas ou um que apresenta poucas? Não precisa ser nenhum gênio para saber que o que apresenta mais falhas, conseqüentemente, terá mais correções... Será que a Red Hat está incluindo falhas propositadamente só para depois sair por aí dizendo: "Ei, vejam como nosso sistema é seguro e como somos eficientes, estamos corrigindo um milhão de falhas enquanto que a Microsoft só corrigiu dez!" ? Será que ela acha que as pessoas são idiotas?

Não entendo porque ela está se gabando disso, afinal, não fez mais do que obrigação em corrigir as vulnerabilidades. Além disso, se há mais falhas no Linux, isso mostra que o aspecto "segurança" não está recebendo a devida atenção. O que ela não deveria ter feito é deixar tantas falhas serem introduzidas no seu sistema para só depois corrigi-las. Lógico que software sem falhas não existe, mas deve-se fazer o máximo para que sejam nas menores quantidades possíveis. Será que ela se preocupa com isso?

Com escreveu Fernando Cima em seu blog, se fôssemos seguir a lógica da Red Hat, o SQL Server 2005 seria o banco de dados mais inseguro do mundo.

Melhorias de segurança no Windows Vista

Segurança foi uma área que recebeu atenção especial no desenvolvimento do Windows Vista. Foram mais de 180 melhorias e funcionalidades incluídas com o objetivo de tornar o sistema operacional mais seguro.Entre as principais características de segurança, podemos destacar:

  • User Account Control - UAC, que solicita confirmação de toda ação que exige privilégios administrativos para ser executada. Apesar da intenção ser boa, pode ser banalizado e fazer com que o usuário sempre aceite a confirmação ou forneça as credencais, sem nem mesmo saber exatamente o que está fazendo, o que poderia facilitar a instalação de programas indesejáveis;
  • melhorias no Windows Firewall, que agora permite o bloqueio do tráfego que sai do computador, ao contrário do Firewall do Windows XP, que só bloqueia o tráfego recebido pelo computador. Curiosamente, esta função não virá habilitada por padrão no Vista, o que gerou algumas críticas à Microsoft, que tratou de justificar sua decisão em alguns de seus blogs;
  • Windows Defender: é o programa de combate a malwares que será nativo no Windows Vista. Ele também pode ser instalado no Windows XP;
  • Internet Explorer Protected Mode: no Windows Vista, o IE 7 será executado com permissões mais restritas, numa espécie de sandbox, o que evitará que aplicações maliciosas tenham acesso direto ao sistema;

Claro que isso não significa o fim dos problemas de segurança, até porque a causa da maioria deles tem muito mais a ver com comportamento do que com tecnologia, mas são medidas importantes que visam tornar o sistema mais seguro.

Referências:

Microsoft's new identity: secure OS vendor?

Windows Vista Security and Protection 

Windows Vista Security and Data Protection Improvements 

Windows Vista Security Guide 

Windows Vista Review Part 5: Windows Vista Features: Security Features 

Webcasts sobre segurança com AJAX

Para os desenvolvedores web preocupados com segurança (todos deveriam estar preocupados), começará esta semana uma série de webcasts sobre aspectos de segurança na utilização de AJAX, com ênfase maior no ASP.NET AJAX, conhecido anteriormente como Atlas.

Apesar de toda a badalação em torno dessa "nova" técnica, poucos têm se preocupado com as novas brechas que esse tipo de desenvolvimento pode introduzir, caso não sejam tomados alguns cuidados. Sugiro a inscrição.

Presente de Natal: material de estudo grátis

A Microsoft disponibilizou capítulos de alguns livros para download. Entre os temas, encontram-se ASP.NET AJAX e segurança em desenvolvimento de aplicações ASP.NET. Além disso, também é possível se inscrever, gratuitamente, em alguns cursos de E-Learning, como ASP.NET AJAX e ADO.NET 2.0.

Para completar, o MSDN Brasil lançou a segunda fase do programa Net Proctetor, que visa difundir o aprendizado de segurança no desenvolvimento de software. A Academia Net Protector funcionará como o programa Desenvolvedor 5 Estrelas mas, ao invés de acumular estrelas, serão acumulados escudos, até no máximo 4, que indicam o nível de conhecimento adquirido. O material também está disponível para download.

Microsoft Developer Security Resource Kit

Se você é um desenvolvedor consciente, deve se preocupar constantemente com segurança. Aliás, será que alguém hoje em dia ainda não leva em conta este aspecto? Infelizmente, acredito que a maioria não dá a mínima bola para isso e acredita que isso é assunto para o pessoal de infra-estrutura e que basta colocar um firewall para resolver o problema... O resultado é o que estamos cansados de ver por aí: aplicações cheias de falhas e que colocam em risco a segurança e a privacidade da informação, isso sem falar nos prejuízos financeiros.

Assim, qualquer material que nos ajude a melhorar a segurança de uma aplicação é bem-vindo. A Microsoft disponibilizou o Microsoft Developer Security Resource Kit, um DVD-ROM que, assim como os outros Resource Kits, vem com uma série de informações sobre um determinado assunto, que no caso é segurança em desenvolvimento de software: artigos e documentos técnicos, melhores práticas, treinamentos, web casts, ferramentas, etc. O Resource Kit é praticamente gratuito, pois paga-se apenas as despesas de envio, que no Brasil fica em US$20,00 (pelo menos no meu caso).

Ricardo Oneda.

Importante: correção para falha grave de segurança

A Microsoft disponibilizou a correção para a vulnerabilidade que foi descoberta recentemente na manipulação de arquivos gráficos WMF (Windows Meta File) que permite executar programas remotamente e que afeta todas as versões do Windows. O grande problema desta falha de segurança é que, para ser infectado, basta você acessar uma página que contenha uma imagem intencionalmente corrompida. Não precisa executar ou instalar nada! São muitos os relatos de sites que têm se aproveitado disso para instalar spywares sem permissão nas máquinas dos usuários, isso sem falar em outros tipos de programas nocivos, como cavalos de tróia. Sugiro a todos que instalem a correção imediatamente e que recomendem o mesmo para seus amigos. Mais informações e o download da correção podem ser encontradas em:

Microsoft Security Bulletin MS06-001

Ricardo Oneda

Microsoft x Open Source: qual é mais seguro?

Não sei quanto a vocês, mas uma das coisas que mais me irritam quando ouço ou vejo discussões sobre o modelo open source versus o modelo proprietário, como o adotado pela Microsoft, é o posicionamento ideológico xiita que algumas pessoas costumam adotar (e isso vale para ambos os lados, ou seja, tanto os defensores do código livre quanto os defensores do código "fechado"), o que acaba prejudicando a imparcialidade, já que aspectos racionais e técnicos acabam ficando de lado.

Acreditar cegamente que o software livre é a solução de todos os problemas e a salvação contra a materialização de todo mal da Terra (também conhecida como Microsoft) é tão ridículo quanto eu dizer aqui que todos softwares open source são uma porcaria e que não vale a pena perdermos tempo com eles, já que só o modelo proprietário é capaz de suprir nossas necessidades.

Um dos pontos mais atacados pelos defensores do código fonte livre é a segurança. Segundo eles, software open source é mais seguro, já que, como o código é aberto, qualquer pessoa pode ter acesso a ele e descobrir (e corrigir) alguma falha de segurança com mais facilidade. Esse raciocínio tem algumas falhas: e quem vai garantir que haverá uma revisão de cada linha de código? E mesmo que haja, quem garante que isso se manterá para sempre? E quem garante que quando uma nova funcionalidade for adicionada ao software também não trará consigo uma falha de segurança, seja por desconhecimento ou incompetência do desenvolvedor? 

Dizer que Unix é mais seguro que Windows (ou vice-versa) é besteira. Não existe esse tipo de coisa quando se comparam plataformas tão maduras assim. O que existe é sistema bem ou mal configurado e administrado. A verdade é que todos os softwares estão sujeitos a falhas e bugs, e isso independe do modelo de licença adotado. Bom, esta é a minha opinião e uma das lições que aprendi no tempo em que trabalhava com segurança. Pois bem, lendo o artigo Microsoft security is nothing to sneeze at, exatamente sobre esse assunto,  o autor expressa tudo o que eu penso a respeito (com mais competência) e vai além, comprovando que software open source não é garantia de software seguro. Vale a pena ser lido. Destaco um trecho abaixo:

Free software proponents often say that open source code review guarantees that open source code will be more secure. Baloney! I love to read code, too, but how many of us have the time to review tens of thousands of lines of code? Plus, the really good people are already working 80 hours a week on projects for their bosses.

Ricardo Oneda.

Microsoft Phishing Filter


Como disse há algum tempo atrás, a próxima versão do IE virá com uma ferramenta anti-phishing scam. Recentemente, a Microsoft divulgou maiores detalhes sobre esta nova funcionalidade e pelo que li, é muito parecida com a barra de ferramenta anti-phishing scam da Netcraft, sobre a qual também já comentei aqui no blog.

O IE 7 também irá consultar uma base de dados para tentar descobrir se o site que está sendo acessado no momento é ou não um site falso que representa algum perigo para o usuário. Caso deseje, também será possível "denunciar" determinado site para que ele seja incluído na lista negra. O ideal seria que todas essas ferramentas compartilhassem essa base de dados, assim todos estariam colaborando para que a segurança na Internet melhorasse.

Aliás, a Microsoft está levando tão a sério a questão da segurança, que também liberou uma ferramenta de filtro de phishing scam para o Outlook 2003, que é obtida junto com o Service Pack 2 do Office 2003 que foi lançado dia 27/09.

Ricardo Oneda.

Barra de ferramentas anti-phishing scam

No meu último post comentei que a próxima versão do IE virá com funcionalidades de combate a phishing scams, entre outras novidades.

Phishing scam é o nome dado à técnica de tentar enganar o usuário através da disponibilização de um site clone de um site verdadeiro. Assim, a pessoa pensa estar acessando o site de uma determinada empresa mas na verdade está acessando um site falso praticamente igual ao original. Nos últimos tempos, ficou extremamente comum recebermos e-mails que se passam por originais e induzem os usuários a acessarem estes sites falsos. O usuário desatento então fornece os dados que o site solicita como números de cartão de crédito, senhas de banco, etc e que na verdade são enviados ao fraudador.

Para aqueles que não querem esperar até a próxima versão do IE para ficarem um pouco mais seguros, a Netcraft, famosa por suas estatísticas de web sites, como sistemas operacionais utilizados na Internet entre outros serviços, disponibilizou uma barra de ferramentas anti-phishing scam para o IE, parecida com a barra de ferramentas do Google e outras similares.



As URLs dos sites falsos são armazenadas nos servidores da Netcraft e o interessante é que as pessoas podem alimentar esta base, fazendo com que quanto mais pessoas utilizarem esta ferramenta, maior a probabilidade do site ser identificado como falso. Quando se tenta acessar um site suspeito da lista, um alerta é emitido.



É uma idéia bem interessante!

Ricardo Oneda.