Bruno Morisson, consultor sénior de segurança informática na OniCommunications e orador do 1º Fórum de Segurança Digital, aceitou responder a alguma perguntas que o Ciberia lhe colocou por e-mail, onde explica como combater um novo tipo de ataque malicioso conhecido por clickjacking e antecipa as principais ameaças de 2009.
Ciberia - A sua comunicação no Fórum de Segurança Digital será dedicada às principais vulnerabilidades e falhas de seguranças de 2008. Se tivesse de destacar uma delas quer pela dimensão quer pelo impacto qual seria?
Bruno Morisson - Penso que no ano de 2008 indiscutivelmente a vulnerabilidade com maior impacto e dimensão foi a descoberta pelo Dan Kaminsky relativa ao DNS. Segundo estatísticas do próprio Kaminsky, cerca de 85% dos servidores de DNS eram vulneráveis, permitindo que um indivíduo mal intencionado conseguisse controlar as respostas destes servidores, "enganando" os utilizadores que dependessem deles para as suas "navegações" pela Internet.
Explorando esta falha, por exemplo, era possível levar os utilizadores que dependessem de um servidor vulnerável a pensar que estavam a aceder à página do seu banco online, quando na realidade estavam a aceder a um site feito para apenas lhes roubar as suas credenciais de acesso.
Dado que esta falha existia a nível de DNS, e tudo o que fazemos na Internet depende do DNS ser fiável, estamos a falar de um impacto a nível não só de web, mas também de intercepção de mail, instant messaging, etc.
Ciberia - Nos últimos tempos tem-se falado muito de um novo tipo de ataque denominado clickjacking. Pode explicar-nos como funciona e o que fazer para o evitar?
B.M. - O clickjacking refere-se a diversas formas que os seus autores encontraram de levar um utilizador a executar uma determinada função numa página web, através da manipulação de diversos componentes noutra página. A mais directa de compreender, é a possibilidade de (por exemplo) inserir numa página um componente opaco que sobrepõe as preferências do plugin de Flash, de forma a que quando o utilizador clicar num botão que está a ver na página, estará de facto a clicar num botão que está por baixo desse. Desta forma é possível usar o Flash para ligar a webcam e o microfone do computador quando o utilizador clica num botão, sem este se aperceber. Existem muitos mais vectores de ataque, o Flash é apenas um deles.
Dado que existem muitas formas de explorar este problema, que não se baseia apenas no exemplo que dei, a resolução é complexa. A melhor forma neste momento de se evitar ser vítima de um ataque por clickjacking é usar o browser Firefox com o plugin NoScript, que contém uma funcionalidade chamada ClearClick, a qual permite identificar ataques deste género e alertar o utilizador.
Em todos os outros casos (Internet Explorer, Safari, Opera e Firefox sem NoScript), evitar o clickjacking obriga a desabilitar uma série de funcionalidades (JavaScript, ActiveX, IFrames, entre outras), o que torna quase impossível a visualização da maioria dos sites.
Ciberia - Arrisca uma previsão quanto às principais ameaças que podemos esperar em 2009?
B.M. - Penso que as questões relacionadas com a forma como o browser interage com o utilizador, tais como o clickjacking, continuarão a estar na ordem do dia. De facto os browsers cada vez mais são onde "vivemos" online, e é aí, no lado do cliente, que acaba por ser mais difícil de defender e mais fácil de atacar.
Arrisco ainda a dizer que vulnerabilidades estruturais, como a que surgiu do DNS, não acabaram. Não sei se durante o próximo ano serão publicadas mais com a dimensão da que vimos este ano, mas garantidamente estamos ainda hoje dependentes de protocolos desenvolvidos há mais de 20 anos, numa altura em que a segurança não era de todo uma prioridade, nem uma preocupação.
Ciberia - Por fim, como classifica a importância da realização de um evento como o Fórum de Segurança Digital em Portugal e o papel que este poderá ter para gerar consciencialização sobre as questões da segurança informática, cada vez mais prementes?
B.M. - Acho de extrema importância termos mais eventos como o Fórum de Segurança Digital que permitam aos profissionais do sector partilhar experiências e adquirir (in)formação, bem como sensibilizar o público em geral. Penso que nos dois dias do Fórum iremos todos (oradores e participantes) ter a oportunidade de ouvir, falar, e interagir com pessoas com experiências muito diversas, não só a nível nacional, como a nível internacional, o que é muito interessante. Espero que seja um sucesso, e que para o ano exista o 2º Fórum.
A primeira edição do Fórum de Segurança Digital decorre nos dias 7 e 8 de Novembro no hotel Ollissipo Marquês de Sá, em Lisboa. Mais informações podem ser consultadas no site oficial .
Reportagem:
http://ciberia.aeiou.pt/?st=10401
Nenhum comentário:
Postar um comentário