Carlo Marcelo Revoredo da Silva
Contents
1. Localizar Executar M todo Execut vel do Pendente Navegador Test BeforeClass A Sim Criar Inst ncia do Navegador s H Sim N o i H Localizar a v Aplicac o alvo Verificar Classe de para os Testes Teste pendente BeforeClass Finalizar Teste Destruir Inst ncia AfterClass do Navegador Figura 4 3 Workflow do ciclo de vida dos testes do ambiente proposto O primeiro passo do fluxo a inicializa o da Aplica o Teste que ir localizar no computador o caminho absoluto do execut vel do navegador a ser utilizado Uma vez localizado o Selenium WebServer ir criar uma inst ncia do navegador e executar os m todos dos Testes Unit rios Entretanto uma vez o m todo n o recuperando um comportamento esperado causar um erro ao processo de teste e nesse momento que a Aplica o Teste ir contabilizar o evento significando assim a interven o da ferramenta Para garantir maior precis o nos resultados ap s a execu o dos testes foi realizada uma triagem no Log resultante da conclus o da Aplica o Teste verificando assim o motivo das falhas nos m todos para confirmar a interven o das Extens es quanto ao 107Unit http junit org Selenium WebDriver http docs seleniumhq org projects webdriver PBurpSuite http portswigger net burp 95 comportamento do resultado Outro ponto que vale ser ressaltado que em nenhum dos casos a prote o nativa do2. Figura 4 4 Ambiente Controlado para a Coleta dos Dados 4 1 4 An lise dos Resultados Com base na Tabela 4 1 foram submetidas 23 ferramentas aos testes desta experimenta o com os resultados obtidos por Ataques e as respectivas ferramentas que oferecem prote o P de ser observado que em alguns casos a escala possui um n vel qualificado como Satisfat rio outros se estendem at o Excelente Os casos com aus ncia do n vel Excelente referem se aos ambientes de testes que devido falta de cen rios prontos e o tempo e esfor o para desenvolv los n o contemplam todos os aspectos vulner veis descritos no estudo 96 Em contrapartida esses cen rios abrangem os comportamentos mais elementares levantados nesta pesquisa Al m disso todos os aspectos pertinentes s vulnerabilidades em HTMLS est o de acordo com os cen rios propostos Outro fato que vale ser ressaltado que os falsos positivos n o foram considerados nestes testes uma vez que o estudo atribui o fator humano respons vel pelas corre es dos erros de filtragem Sendo assim os cen rios apresentados foram definidos como amea as reais ao usu rio Nesta se o ser o descritas as considera es do estudo realizado com base nos resultados extra dos para as quest es citadas na Tabela 4 1 Resultado da Quest o 1 Conforme observado na Figura 4 5 a ferramenta Aegis conseguiu um resultado excelente nos testes de prote o
3. Avalia o de A8 Google Chrome Avalia o de A8 Mozilla FireFox 3 o S T i a s wv o TT q S z 0 T 1 Aegis Websecurify Aegis CSRF Finder No Script RequestPolicy Ferramentas submetidas Ferramentas submetidas Figura 4 12 Resultados da avalia o da Quest o 8 101 Resultado da Quest o 9 Finalmente com base nos resultados da avalia o da Quest o 9 conforme ilustrado na Figura 4 13 poucas foram as ferramentas dispon veis para as prote es de falhas em PMO sendo detectadas apenas tr s ferramentas A Aegis foi nica que considerou os crit rios abordados neste estudo a saber a seguran a em arquivos SWF e as falhas ocasionais em recursos do HTML5 como o WebSocket e o WebMessaging Avalia o de A9 Google Chrome Avalia o de A9 Mozilla FireFox M todos Detecc o Nm m E Aegis Websecurify Aegis RequestPolicy Ferramentas submetidas Ferramentas submetidas Figura 4 13 Resultados da avalia o da Quest o 9 4 2 Limita es da Avalia o Devido s restri es de tempo n o foi poss vel desenvolver um ambiente controlado capaz de avaliar todas as varia es dos aspectos inseguros acerca dos dados do usu rio os quais foram apresentados por este estudo oferecendo assim um n mero ainda maior de m tricas a serem submetidas nas quest es de avalia o Este crescimento na diversidade das m tricas poderia proporcion
4. Figura 3 2 Acessos a Extens o Aegis pela interface do Navegador Classificac o dos N veis a ALTO Permite todos os Recursos control veis b M DIO Permite de acordo com o contexto do ataque c BAIXO Pro be todos os Recursos Control veis Listas A extens o do Aegis possui um conjunto de listas que s o sincronizadas periodicamente Sao arquivos JSON que representam diversos recursos a saber listas negras de Phishing e Malwares listas brancas para as exce es nos filtros e um dicion rio de URL curtas Scripts Uma extens o armazena scripts baseados em p gina de eventos e de a o do Chrome O script principal da extens o o AegisAPI cont m os m todos que executam as chamadas de todos os filtros contra as 9 amea as nessa API que fica armazenado um conjunto de regras relativas defini o dos filtros e crit rios a serem executados para minimizar as amea as ao usu rio Essa biblioteca JS ficar armazenada no navegador do usu rio por meio da extens o proporcionando uma valida o local evitando lat ncias Periodicamente essa API ser sincronizada pelo servi o do Aegis Manipula o das Requisi es Os navegadores disponibilizam uma API que facilita bastante o trabalho de manipula o de requisi es No Chrome ela chamada de webRequestWeb 2013a no Firefox recebe 60 o nome de HTTPRequestsHTT 2013 Esse componente crucial para a realiza o dessa proposta p
5. Cyclone Transfers Damn Vulnerable Web Application EeSafe org EnigmaGroup Exploit DB Exploit KB Vulnerable Web App Google Gruyere Hackxor Hacme Apps Moth Mutillidae OWASP Hackademic OWASP SiteGenerator OWASP Vicnum OWASP Web Goat PCTechtips Challenge Peruggia Stanford SecuriBench The Bodgeit Store The Butterfly Security Project WackoPicko Watchfire Web Security Dojo WebMaven Buggy Bank XSS Encoding Skills x5s KL KL ML KLM KLM KL OL MK LK KL KL ML KL KL KL OO O xix xix xxx HK OO MM MK OK OK KIKIKI OO OS OS OS PS OS OO OS OS OS OS a OOS ojO jO O O 0 0 0 O0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 Ojo lojojojojojojojojo o o j0o 0 0 0 0 0 0 0 O0O Oo o jo jo o o oO jO jO O O 0O 0 0 O0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 0 OjlOj jOj O x ixx xo x xoDpos xo ixioijxkiloilojlojlocoxilojooco oO jO jO O O0O 0 0 0 O0 0 0 0 0 0 0 O0 0 0 0 0 0 0 0 0 0 0 0 0 ojojojo O O x O x O x lo loOjojojojolx xilo jojojo o o jo o o ojojo o jo jojoOj 0o O0 OoO xXx o lo jo o jo o jo jo jojo o jo jo lo lojo o Tabela A 3 Ambientes Controlados e a cobertura aos Ataques 128 Extens es Navegador Vers o Aegis Chrome Firefox ND avast Online Security Chrome 9
6. LEE J H LIM W G LIM J I A study of the security of Internet banking and financial private information in South Korea Mathematical and Computer Modelling S 1 2013 LEKIES S T W J M Towards stateless client side driven Cross site request forgery protection for Web applications Lecture Notes in Informatics LNI Proceedings Series of the Gesellschaft fur Informatik GD S 1 2012 LIN J K J Y Y C Y The design of protocol for e voting on the Internet Security Technology 2001 IEEE 35th International Carnahan Conference on S 1 2001 LIU A X KOVACS J M GOUDA M G A secure cookie scheme Computer Networks S 1 2012 LUNDEEN B ALVES FOSS J Practical clickjacking with BeEF Homeland Security HST 2012 IEEE Conference on Technologies for S 1 2012 LWIN N Agent Based Web Browser Autonomic and Autonomous Systems 2009 ICAS 09 Fifth International Conference on S 1 2009 MAFFEIS K B A D L S Language based defenses against untrusted browser origins SEC 13 Proceedings of the 22nd USENIX conference on Security S 1 2013 MAFFEIS S TALY A Language Based Isolation of Untrusted JavaScript Computer Security Foundations Symposium 2009 CSF 09 22nd IEEE S 1 2009 117 MALANDRINO D SCARANO V Supportive Comprehensive and Improved Privacy Protection for Web Browsing Privacy security risk and trust passat 2011 ieee third international conferen
7. Prote o contra AS Carlini et al Wagner 2012 apresentam um mecanismo de avalia o de extens es para Google Chrome que consiste em analisar as pol ticas de privil gio isolamento e permiss o definidas no gerenciador de Extens es Ford et al Ford 52 2009 prop em uma prote o que monitora downloads e acessos poss veis malwares baseados em Flash nas p ginas web Prote o contra A6 West amp Pulimood West and Pulimood 2012 prop em uma an lise de amea as e preven es na utiliza o de recursos do HTMLS como o WebSto rage Toubiana et al Toubiana et al 2012 analisam as quest es de privacidade quanto aos cookies dos servi os da Google visando aspectos de persist ncia e identifica o Fung amp Cheung Fung 2010 apresentam uma camada de armazenamento client side que restringe o acesso exclusivamente baseado em em HTTPS E por fim Dong et al Dong et al 2013 prop em detec es de amea as e prote es contra a exposi o de dados sens veis utilizando um mecanismo denominado Cryptons Prote o contra A7 Walden et al Walden et al 2010 abordam os impactos das vulnerabilidades existentes em plug ins considerando o poder de propaga o dos mesmos Schmitt et al Schmitt et al 2012 prop em prote es quanto leitura de arquivos PDF com ataques injetados baseados em JS Prote o contra A8 Ryck etal De Ryck 2011 proporcionam uma abordagem sobre defesas de CSRF no lado cliente basean
8. o conhecida como dia zero o plug in permanecer desabilitado Adicionalmente para desabilitar um plug in a extens o ir abrir uma aba com o endere o chrome plug ins no caso do Chrome ou about plug ins para o Firefox que exibe uma listagem dos plug ins instalados no navegador descrevendo informa es como a vers o instalada al m de links para habilit los ou desabilit los 3 3 8 Filtro A8 Ataques baseados em A8 O processo de filtragem do CSRF dividido em dois fluxos conforme apresentado nas Figuras 3 17 e 3 18 No primeiro fluxo representado na Figura 3 17 s o considerados os ataques baseados na requisi o como a manipula o em URL e cabe alhos HTTP Uma vez que uma URL possui seus par metros modificados de forma maliciosa possivel mente o atacante utilizar servi os de URL curta para camuflar seus objetivos Portanto o processo de preven o se inicia logo ap s a an lise do filtro A4 quando revela o endere o leg timo da URL De posse da URL original o pr ximo passo ser analisar seus par metros identificando aus ncias de Token baseados na t cnica Synchronizer Token PatternOWASP 2013d seja nos par metros da URL para as requisi es GET ou campos com atributo HIDDEN para as requisi es POST O pr ximo passo capturar o cabe alho HTTP e realizar uma an lise quanto aos par metros e Cookies A quest o dos Cookies que muitas vezes um Cookie pode ser combinado a um Token com o intuito
9. 10Ford 2009 11Dhawan 2009 12Ter Louw 2009 13Tan 2009 14Jung 2009 15Kirda et al 2009 1Eisen 2010 2Alexenko 2010 3Ciampa et al 2010 4Elia et al 2010 5Laranjeiro et al 2010 6Ntagwabira and Kang 2010 7Pinz n et al 2010 8Tajpour et al 2010 9Winder 2010 10Gustav Rydstedt and Jackson 2010 11Shahriar 2010 12Xing 2010 13Kai 2008b 12Grossman 2008 Zhao Kaji 2010 14Jayara 130fuonye 2008 14Grier man 2010b 15Fung 2010 2008 15Wassermann 2008 16Jayaraman 20103 17Qiu 16Kerschbaum 2008 2010 18Balduzzi 2010 19Yang 2010 20Gebre 2010 21Galan 2010 22Watanabe 2010 23Yinzhi Cao 2010 24Wang 2010 25Caballero 2010 26Beck 2010 27Chen 2010 28Silic 2010 29Jiang Wang Huang 2010 30Gau rav Aggrawal and Boneh 2010 31Aslam 2010 32De Ryck 2010 2011 2012 2013 1Guha 2011 2Malandrino 1Gundy and Chen 2012 2Xu 1Vyshegorodtsev 2013 2Kim 2011 3Qingxian 2011 et al 2012 3Zavou 2012 2013 3Wahlberg 2013 4Blanc 2011 S5Fredrikson 4Frenz 2012 5Liu et al 2012 4Wang 2013b SHuang 2013 2011 6Saiedian 2011 6Wang et al 2012 7Shar and 6Micha Chora 2013 7Bam 7Accornero 2011 8Fukushima 2011 9Guo 2011 10Thomas 2011 11Devesa 2011 12Ali 2011 13Gastellier Prevost 2011b 14De Ryck 2011 15Shun Wen Hsiao Sun 2011 16Boyan Chen Zavarsky 2
10. 9 o O O O Oo o ChromeXSS 20 06 2013 2013a XSS Me X 9 o o O O O Oo Oo FirefoxXSS 11 04 2012 2013b Zscaler Likejacking Prevention O o X o O O O Oo Oo ChromeZsc 12 04 2012 2013 2 9 Considera es Finais Este estudo apresentou uma contextualiza o baseada em uma revis o sistem tica de literatura na qual atrav s de um crit rio de sele o expl cito extraiu os principais pontos a serem considerados quanto problem tica do tema abordado nesta pesquisa Foram apresentados os principais ataques que um usu rio de navegador web pode ser suscet vel baseando se nas publica es de maior impacto e ader ncia ao tema sendo poss vel extrair as defini es bem como as principais t cnicas de defesa e ataque destas amea as Quanto aos resultados obtidos foi poss vel ser identificada uma grande discrep ncia em rela o quantidade de publica es durante a evolu o da web Onde na Web 3 0 durante seus 3 anos e meio de 2010 at Agosto 2013 foi contabilizado quase o dobro da quantidade de publica es durante os 10 anos da Web 2 0 este ultimo por sua vez tem um somat rio maior que quatro vezes a soma das publica es na Web 1 0 Com base nestes resultados poss vel considerar que a preocupa o quanto seguran a em ambientes Client side est em consider vel proje o de crescimento comprovando a relev ncia quanto ao problema apresentado por este estudo 55
11. Q9 Qu o eficaz a prote o das ferramentas diante dos ataques A9 1 WebGoat A Aplica o Teste acessar uma p gina que possui dois links um que aponta para o mesmo dom nio e outro que far uma requisi o em um dom nio externo da aplica o e que o mesmo n o consta nas permiss es de dom nios da PMO da aplica o A Aplica o Teste ir clicar no primeiro e no segundo link aguardando logo em seguida a presen a de um elemento DIV com ID message Indicando que a falha foi explorada com sucesso 2 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui um m todo que ser disparado um consumo via AJAX em um servi o externo A resposta deste servi o cont m um ata que de XSS que executa um alert atrav s de codifica o URI Component A Aplica o Teste ir aguardar como resposta a mensagem de alerta indicando que o ataque foi bem sucedido 3 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui um arquivo SWF O arquivo crossdomain xml est de finido para permitir acesso de qualquer dom nio externo A Aplica o Teste ir aguardar o carregamento da p gina indi cando que a falha de seguran a foi desprezada pela Extens o 4 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui uma conex o via protocolo WebSocket O handshake entre cliente e servidor possui falhas de PMO A Apli ca o Teste interpretar o ataque como bem sucedido
12. o de Componentes Vulner veis Conhecidos A7 Vetor Relacionado Vetor 4 Componentes ou Complementos Inseguros Defini o Segundo este estudo este ataque possui 72 publica es encontradas na literatura relacionada ao tema da pesquisa Esta amea a est direcionada as falhas existentes no navegador e seus componentes OWASP 2013g Como dito anteriormente diversas informa es sens veis s o trafegadas durante a navega o e quando precisam ser arma zenadas responsabilidade do navegador garantir que pessoas mal intencionadas n o tenham acesso a essa informa o Al m disso o desenvolvedor do navegador precisam adotar pol ticas s lidas que garantam que tais informa es estar o bem protegidas caso contr rio uma falha compro meter sua reputa o e os dados do usu rio Acer and Jackson 2010 Lab 2013 Outra quest o que os componentes que s o adicionados ao navegador visam diretamente responsabilidade do desenvolvedor do navegador ou de seus componentes terceiros Outra quest o que esta amea a bastante similar ao de Complementos Maliciosos porem na vulnerabilidade dos componentes as consequ ncias n o s o propositais vistos que s o resultantes de falhas n o intencionais diferentemente de um complemento malicioso Principais T cnicas de Ataque a Vulnerabilidades nos Componentes S o t cnicas que exploram vulnerabilidades de componentes nativos ou de terceiros que se encontram instalados no na
13. 2010 Ataque 8 Cross Site Request Forgery CSRF A8 Vetor Relacionado Vetor 5 Ataques de Dom nio Cruzado Defini o O Cross Site Request Forgery CSRF s vezes tamb m chamado por XSRF ou algumas vezes tamb m pronunciado como Sea Surf e em alguns outros casos tamb m conhecido como Riding Session Segundo W 2001 um ataque do qual obriga o usu rio final para execu o de a es indesejadas em uma aplica o em que ele encontra se autenticado Apesar de ter um impacto semelhante ao XSS o CSRF n o uma inje o de c digo mas sim uma manipula o nos par metros que s o trafegados na requisi o ou seja uma requisi o forjada OWASP 2013g Apesar de ser na pr tica uma fraude ela executada fora dos dom nios da aplica o portanto o mesmo n o foi considerado como um redirecionamento inv lido por este estudo pois apesar das manipula es em seus par metros o fluxo invertido a requisi o parte de um ponto de partida externo e segue direcionada para o dom nio do site ou servi o legitimo Essas foram algumas conclus es para que o CSRF fosse classificado como um ataque Cross Domain Foram encontradas 81 publica es relacionadas na literatura Principais T cnicas de Ataque a Manipula o de Par metros Conforme ilustrado na Figura 2 13 ocorre quando o atacante envia para uma vitima um link que quando esta acessar ir disparar o m todo de atualiza o de seus dados pessoais em um dete
14. 2013b que trata se de uma especifica o desenvolvida pela W3C que possibilita o navegador adotar uma pol tica de quais recursos s o permitidos ou n o de serem processados em uma requisi o e essas configura es s o transmitidas atrav s dos cabe alhos HTTP ou por Meta Tag HTML Network 2013b Isso possibilita que o desenvolvedor de uma aplica o restrinja recursos que ser o utilizados em uma determinada p gina garantindo assim legitimidade de seu conte do Apesar de diversas medidas de preven o do navegador ainda se faz ineficiente as t cnicas de prote o nativa dos navegadores seja por t cnicas que se baseiam em evas o de filtros ou por falhas nas configura es da CSP OWASP 2013c Principais T cnicas de Defesa Analise Est tica A An lise Est tica de C digo consiste em realizar uma auditoria no c digo sendo necess ria a intercep o da requisi o antes do processo de resposta uma t cnica muito alinhada aos Padr es de Comportamento Wassermann 2008 Johns 2013 Livshits and Chong 2013 Padr es de Comportamento Refere se s preven es relacionadas ao c digo JS com o objetivo de detectar comportamentos suspeitos As medidas aplicadas s o an lises de c digos pr definidos combinados a pol ticas de listas negras ou brancas baseados em express o regular Bates et al 2010 V and Selvakumar 2011 Heiderich et al 2013 Proxy Reverso Uma camada adicional de um terceiro provedor da solu o
15. 32nd EUROMICRO Conference on S 1 2006 SOOD A E R The state of HTTP declarative security in online banking websites Computer Fraud and Security S 1 2011 SOOD A K ENBODY R J Spying on the browser dissecting the design of malicious extensions Network Security S 1 2011 SOOD A K ENBODY R J Malvertising exploiting web advertising Computer Fraud Security S 1 2011 SOOD A K E R Frametrapping the framebusting defence Network Security S 1 2011 STEVANOVIC D VLAJIC N AN A Detection of malicious and non malicious website visitors using unsupervised neural network learning Applied Soft Computing S 1 2013 STOCK M J S L B Eradicating DNS rebinding with the extended Same Origin policy SEC 13 Proceedings of the 22nd USENIX conference on Security S 1 2013 SUBSORN P LIMWIRIYAKUL S A Case Study of Internet Banking Security of Mainland Chinese Banks a customer perspective Computational Intelligence Communication Systems and Networks CICSyN 2012 Fourth International Conference on S 1 2012 SUN J H L Z R C H Secure cross domain communication mechanism for Web mashups Tongxin Xuebao Journal on Communications S 1 2012 SUN Q SIMON D Y M W R W P V L Q Statistical identification of encrypted Web browsing traffic Security and Privacy 2002 Proceedings 2002 IEEE Symposium on S 1 2004 SUN Y H D Model checking for the defense
16. N R L Secure access to personalized Web services Dependable Computing 2001 Proceedings 2001 Pacific Rim International Symposium on S 1 2001 BECK K ZHAN J Phishing in Finance Future Information Technology FutureTech 2010 5th International Conference on S 1 2010 BESTUZHEV D Brazil a country rich in banking trojans url http www securelist com en analysis 204792084 brazil a country rich in banking trojans print mode 1 acesso 10 12 13 2013 BIELOVA N Survey on JavaScript security policies and their enforcement mechanisms in a web browser The Journal of Logic and Algebraic Programming S 1 2013 109 BINA E MCCOOL R J V W M Secure access to data over the Internet Parallel and Distributed Information Systems 1994 Proceedings of the Third International Conference S 1 1994 BLANC G ANDO R K Y Term Rewriting Deobfuscation for Static Client Side Scripting Malware Detection New Technologies Mobility and Security NTMS 2011 4th IFIP International Conference on S 1 2011 BOYAN CHEN ZAVARSKY P RUHL R L D A Study of the Effectiveness of CSRF Guard Privacy security risk and trust passat 2011 ieee third international conference on and 2011 ieee third international conference on social computing socialcom S 1 2011 BOYD S KEROMYTIS A SQLrand preventing sql injection attacks Lecture Notes in Computer Science including subseries Lecture Notes in A
17. Q4 23 REI E o m S Ed d se F2 S a aS xs S S A e M Cj S c e S d g R Pg P a e q S9 E Ferramentas submetidas Ferramentas submetidas Figura 4 10 Resultados da avalia o da Quest o 6 100 Resultado da Quest o 7 Em rela o aos ataques A7 nenhuma outra ferramenta foi encontrada dispon vel para um poss vel comparativo com a Aegis Isso tamb m reflete na pequena quantidade de publica es dispon veis na literatura sobre esse ataque Al m disso conforme descrito na Figura 4 11 apenas no Chrome foi poss vel realizar uma preven o satisfat ria uma vez que o navegador em quest o disponibiliza uma listagem de seus plug ins instalados por meio do endere o chrome plugins onde se faz poss vel desabilitar um determinado plug in o que n o ocorre na listagem about plugins do Firefox Portanto a solu o proposta ainda possui um comportamento minimamente preventivo Avalia o de A7 Google Chrome Avalia o de A7 Mozilla FireFox N M todos Detec o Aegis Aegis Ferramentas submetidas Ferramentas submetidas Figura 4 11 Resultados da avalia o da Quest o 7 Resultado da Quest o 8 Conforme descrito na Figura 4 12 a ferramenta Aegis e a No Script apresentaram um comportamento satisfat rio nos testes que envolvem ataques de A8 As demais ferramentas tiveram inefici ncia quanto a detec o da m trica 2 a qual baseada na forja de Token
18. XSS Persistente Pa dr o sem escapes M2 XSS Refletido Padr o sem escapes M3 XSS atrav s de escapes com express o regular M4 XSS atra v s de DOM M5 XSS baseado em DOM atrav s de Web Workers Contexto 1 Aegis 2 ImmuniWeb Self Fuzzer 3 Netcraft Extension 4 No Script 5 RightChkXSS 6 ScriptSafe 7 TamperMonkey 8 Websecurify 9 XSS chef 10 XSS Me Escala M tricas atingidas O N o se aplica 1 Fraco 2 a 3 Razo vel Satisfat rio 5 Excelente L8 Q2 Qu o eficaz Os testes de SQLi ser o divididos em 3 etapas a saber M1 Vulnerabilidade 1 Aegis M tricas atingidas a prote o 1 WebGoat A Aplica o Teste acessar uma p gina que possui via GET das ferramentas vulnerabilidade SQLi atrav s de concatena o de par metros num ri 2 ImmuniWeb O N o se aplica diante dos cos Ela ir manipular os par metros do POST aplicando uma ver M2 Vulnerabilidade Self Fuzzer ataques A2 dade absoluta na sintaxe do SQL A aplica o ir aguardar o carre via POST 1 Fraco gamento da p gina indicando que o acesso p gina foi permitido 3 SQL Inject Me 2 WebGoat A Aplica o Teste acessar uma p gina na qual pos M3 Vulnerabilidade em 2 Razo vel sui vulnerabilidade SQLi atrav s de concatena o de par metros texto Web SQL 4 Websecurify Ela ir manipular os par metros do POST apli
19. XSS em ambos os navegadores A ferramenta No Script teve um resultado de mesma qualidade por m essa solu o encontra se dispon vel apenas no navegador Firefox Tamb m foi observado que ferramentas exclusivamente dispon veis para o Chrome como a Websecurify e a XSS Chef tiveram resultados satisfat rios Outra quest o importante que no geral apenas uma ferramenta teve sua funcionalidade classificada como fraca mas nenhuma delas teve um comportamento nulo em rela o prote o de XSS Estes ndices combinados com a quantidade de ferramentas dispon veis demonstram que o ataque de XSS o mais explorado quanto s solu es propostas no contexto de extens es Avalia o de Al Google Chrome Avalia o de Al Mozilla FireFox l o ga 9 Ss 82 3 NE E t Tt o NM a rd S S m P S S z gj Rd e R A amp e Ss i S e eg S Pd S RG PA S S E e Y Ferramentas submetidas S Ferramentas submetidas Figura 4 5 Resultados da avalia o da Quest o 1 97 Resultado da Quest o 2 Seguindo para a an lise dos resultados de SQLi conforme ilustrado na Figura 4 6 os dados obtidos v o em contradi o aos de XSS tanto em respeito quantidade de ferramentas dispon veis quanto efic cia O fato que as t cnicas de detec o no contexto de uma extens o s o bastante limitadas primeiramente pela heur stica aplicada por todas as ferramentas as quais realizam uma ins
20. e commerce applications Parallel Processing Workshops 2002 Proceedings International Conference on S 1 2002 DEVESA J C X A G B P An efficient security solution for dealing with shortened URL analysis Proceedings of the 8th International Workshop on Security in Information Systems S 1 2011 111 DHAWAN M GANAPATHY V Analyzing Information Flow in JavaScript Based Browser Extensions Computer Security Applications Conference 2009 ACSAC 09 Annual S 1 2009 DI LUCCA G A FASOLINO A M M T P Identifying cross site scripting vulnerabilities in Web applications Telecommunications Energy Conference 2004 INTELEC 2004 26th Annual International S 1 2004 DYMOND P JENKIN M WWW distribution of private information with watermarking Systems Sciences 1999 HICSS 32 Proceedings of the 32nd Annual Hawaii International Conference on S 1 1999 EISEN O Catching the fraudulent Man in the Middle and Man in the Browser Network Security S 1 2010 ELIA I FONSECA J VIEIRA M Comparing SQL injection detection tools using attack injection an experimental study Proceedings International Symposium on Software Reliability Engineering ISSRE S 1 2010 CESSO 10 12 13 2013 ESAPI JAVASCRIPT URL HTTPS WWW OWASP ORG INDEX PHP ESAPI JAVASCRIPT README ACESSO 10 12 13J OWASPES APIJS ESAPI JavaScript URL https www owasp org index php esapi javascript _readme acesso 10 12 1
21. exce o Possui comportamento URL uspeito sm NAO Filtrar com Capturar Elementos Filtro A1 com URL N O Externo em Geral onBeforeSendHeaders WebRequest Figura 3 19 Processo de Filtragem de Falhas em Pol ticas de Mesma Origem A9 Identificado esses comportamentos o Filtro ir acionar o filtro A4 para as preven es de fraudes e o filtro Al para an lise de XSSI Tais comportamentos s o oriundos de Mashups maliciosas Outro aspecto de preven o uma p gina que possua arquivos SWF e que em suas defini es permita acesso a qualquer dom nio Estas defini es s o armazenadas no arquivo crossdomain xml e a extens o acessar este arquivo e analisar seu conte do Uma vez encontrada a tag lt allow access from domain gt a extens o considerar a p gina como suspeita Al m disso essa preven o impede consequ ncias como CSRF importante ressaltar que esses aspectos ser o analisados tanto em conex es HTTP como tamb m por meio de WebSocket 30 O processo de filtragem faz uso de recursos j realizados em filtros anteriores como a checagem do cabe alho de origem descrita nas preven es de CSRF Outro reuso 82 com rela o a an lise de URLs Uma vez o cabe alho sendo avaliado como confi vel o pr ximo passo ser analisar o conte do de resposta buscando por respostas de elementos que realizam requisi es em servi os externos 3 4 Limita es e Considera es Fin
22. o o e eoe c oo Dad much eR eH oe 17 2 Contextualizac o da Proposta 18 2 1 Metodologia de Pesquisa 4 24 2246428844 a Rm eee oe 19 2 2 Defini o de Pesquisa e Fonte Prim ria 20 23 CAMAS Inclus o oux vex kx Eee SK Ee Eee eee bes 21 Ad Crit rio d e Exelis o o ee kem ee Oe E n Ho SE E E 21 223 Crit rio de Relev ncia 2 24244 wo 6448 254549 242 558 22 26 TE erreper eer ra Eee Ee KE ES C9 X ES See eee oes 22 2 7 Classifica o dos Resultados 22 cc eek ee ee eae eee wenn ee 23 2 8 An lise e discuss o dos Resultados l l ss 24 2 8 1 Resultado Obtido daQPI 24 Vetor 1 Inje o de C digos uso ko ow mn 25 D 04 4 o o ss c ace g ock dos BO eS dp a o 25 Vetor 3 Fraca Prote o aos Dados Ls 26 Vetor 4 Componentes ou Complementos Inseguros 26 Vetor 5 Ataques de Dom nio Cruzado 2 2 8 2 Resultado Obtido daQP2 27 Ataque 1 Cross Site Scripting XSS Al 28 Ataque 2 Inje o SQL SQL1 A2 33 Ataque 3 Clickjacking A3 2 ec oor or s 34 Ataque 4 Redirecionamentos e Encaminhamentos Inv lidos A4 36 Ataque 5 Complementos Maliciosos A5 39 Ataque 6 Exposi o de Dados Sens veis A6 41 Ataque 7 Utiliza o de Componentes Vulner veis Conhecidos PE a web md Se ee ee Sd Se q N 43 Ataque 8 Cross Site Request Forgery CSRF A8 45 Ataque 9 Falhas nas Politi
23. o para dom nios cruzados e seguran a no navegador Seus principais trabalhos s o relacionados aos ataques Al Bates et al 2010 A3 Gustav Rydstedt and Jackson 2010 A4 Jackson et al 2007a A6 Gaurav Aggrawal and Boneh 2010 Ross et al 2005 Jackson et al 2007b A7 Acer and Jackson 2010 A8 Adam Barth and Mitchell 2008a e A9 Collin Jackson and Mitchell 2006 Jackson and Wang 2007 Huang et al 2010 Wang et al 2007 Adam Barth and Mitchell 2008b Estes estudos fundamentaram boa parte da seguran a na arquitetura do Google Chrome Team 2009 c Kirda et al O grupo de pesquisa da universidade de Northeastern formado por Engin Kirda Nenad Jovanovic Christopher Kruegel entre outros desenvolveram uma serie de estudos sobre an lise est tica de ataques para a prote o Client side mais precisamente focados nos ataques Al Jovanovic et al 2006 Nentwich et al 2007 Kirda 2006 A3 Balduzzi 2010 e A6 Jovanovic et al 2006 d Gajek et al amp Heiderich et al Um grupo de pesquisa da universidade Ruhr de Bochum composto por Sebastian Gajek Florian Kohlar Jorg Schwenk entre outros e voltado para estudos de defini es de seguran a e prote o aos dados com fortes estudos direcionados ao desenvolvimento de protocolos e canais de comunica o segura para dados sens veis relacionados aos ataques Al Heiderich et al 2013 Heiderich et al 2012a A4 Gajek et al 2007 A6 Gajek 2009 Gajek et al 2009b Gajek et al
24. o segura e Realizar uma revis o sistem tica sobre as quest es de seguran a e estado atual nas principais fontes liter rias e Propor uma taxonomia dos principais ataques web direcionados aos ambientes Client side e Discutir o estado atual das amea as com base nos resultados obtidos na literatura direcionando o estudo baseado nas principais fontes liter rias do tema seja academia ou ind stria e Desenvolver e disponibilizar um prot tipo da ferramenta que possa interagir com o navegador em tempo real e Analisar o comportamento da ferramenta proposta sendo executada nos ambientes controlados dispon veis na atualidade e Desenvolver e disponibilizar um ambiente controlado com o objetivo de uma valida o mais completa e voltado para a tica do tema proposto e Discutir os resultados obtidos na valida o da proposta 1 3 Fora do Escopo Alguns assuntos foram exclu dos do escopo de pesquisa desta disserta o a saber e Solu es que envolvam melhores praticas de implementa o O foco do pro blema est direcionado na seguran a que os navegadores atuais oferecem aos seus 16 usu rios ou seja a proposta desta disserta o n o pretende apresentar boas pr ticas no desenvolvimento de aplica es mas sim proteger o usu rio de amea as que dentre as quais algumas exploram falhas nestes cen rios e Solu es que envolvam consequ ncias diferentes de uma viola o de dados Na pesqu
25. uma determina vers o do navegador como em casos de ataques de Dia Zero do ingl s Zero Day Symantec 2011 Uma vez que muitos navegadores utilizam o mesmo motor de desenvolvimento n o incomum encontrar in meras vulnerabilidades em navegadores distintos for Internet Se curity 2013 dando margens ao usu rio ser suscet vel a esta vulnerabilidade Outra forma de explora o deste vetor ocorre quando uma ferramenta externa adicionada ao navegador e traz consigo alguma vulnerabilidade que consequentemente compromete a seguran a do navegador Essa ocorr ncia muito comum em Extens es ou Plug ins o fato que s o ferramentas desenvolvidas por terceiros e a seguran a do navegador fica em cheque devido alguma negligencia no desenvolvimento dessas ferramentas adicionais Symantec 2010 27 Vetor 5 Ataques de Dominio Cruzado Este vetor resulta em ataques que s o executados de fora dos dominios da aplica o que recebeu o ataque Casos comuns s o originados de servi os externos maliciosos que se aproveitam da confian a obtida de um usu rio ou aplica o W3C 2002 Existem milhares de APIs dispon veis para serem consumidas podendo tamb m construir combi na es de outras APIs das quais s o conhecidas como Mashups James Governor 2009 Estas interfaces t m s rios problemas de padroniza o Silva et al 2013 isto dificulta aplicar uma pol tica de seguran a consistente e a consequ ncia disto que
26. 1Prinsloo and 1Anderson and ISecurity 2001 1Park 2002 1 Alvarez and Eloff 1999 Lee 2000 2Wombacher 2De Zoysa 2002 Petrovic 2003 2Jarkowski et al 2Urien 2000 2001 3Watkins 3Claessens et al 2Trampus 2003 1999 3Dymond 3Crispo et al 2001 4Lin 2002 3von Hoff 2003 1999 2000 2001 5Barone 4Balzer 2003 2001 2004 2005 2006 2007 1Sun 2004 2Di Lucca 1Halfond and Orso 1Juels 2006 2Kirda 1Jr et al 2007 2004 3Goth 2004 2005a 2Kruegel 2006 3Sonntag 2Ritchie 2007 3He 4Cho and Cha 2004 5Alfantookh 2004 6Boyd and Keromytis 2004 et al 2005 3Schultz 2005 4Kirda 2005 5Hallaraker 2005 2006 4Collin Jackson and Mitchell 2006 5Jovanovic 2006 cht 2007 4Bandhakavi et al 2007 5Halfond and Orso 2007 6Ja kobsson 2007 7Karlof 2007 8Jon Howell and Fan 2007 9Chomsiri 2007 Tabela A 5 Principais contribui es relacionadas ao tema nas fontes acad micas 130 2008 2009 2010 1Wang 2008 2Takesue 2008 3Crites 2008 4Zaran dioon 2008 5Joshi 2008 6Adam Barth and Mitchell 20082 Seifert 2008 8Jackson and Barth 20082 9Jackson and Barth 2008b 10Yue Wang Agrawal 2008 11Adam Barth and Mitchell lIacono 2009 2Skaruz 2009 3Zhang 2009 4Nakayama 2009 5Maffeis 2009 6Joshi 2009 7L win 2009 8Takesue 2009 9Iha 2009
27. 2009a Gajek 2009 Gajek et al 2008a Gajek 2008 e A9 Gajek et al 2008b Um detalhe importante que um dos pesquisadores Mario Heiderich um dos fundadores do grupo de boas praticas o HTMLS5 Security uma das principais referencias HTML5Sec 2013 desta pesquisa e Piessens et al Um grupo de estudo da universidade de Leuven onde participam pesquisadores com diversas publica es aderentes ao tema como Frank Piessens Phi lippe De Ryck Steven Van Acker S o diversos estudos que envolvem v rios ataques 51 relacionados neste estudo com destaque de pesquisas que envolvem A1 Philippaerts et al 2013 Van Acker et al 2012 Nikiforakis et al 2012 A2 Philippaerts et al 2013 A6 De Ryck et al 2012b Ryck et al 2012 Groef et al 2011 Bielova et al 2011 A8 De Ryck 2011 e A9 De Ryck et al 2012a Lekies et al 2012 Van Acker et al 2011 De Ryck 2010 Trabalhos Relacionados Prote o contra Al Ross Ross et al 2005 prop e uma prote o nativa ao navegador Internet Explorer 8 que controla arbitrariamente qualquer c digo considerado suspeito filtrando conte dos na tag lt script gt utilizando o par metro X XSS no cabe alho HTTP Na mesma linha Bates et al Bates et al 2010 prop em um componente intitulado XSS Auditor que atua diretamente no mecanismo de renderiza o do Google Chrome O componente respons vel por realizar uma filtragem baseada em express o regular Chandra amp Selvaku
28. Explora o atrav s de XHR Um dom nio externo injeta XSS em um dom nio alvo essa t cnica tamb m conhecida como Cross Site Script Inclusion XSSI Symatec 2013 Outro ataque tamb m explora o a PMO o Cross Site History Manipulation XSHM OWASP 2010 que possibilita uma manipula o no hist rico do navegador violando a privacidade do usu rio b API ou Mashups n o confi veis Outra explora o atrav s de APIs ou Mashups inseguros fato muito emergente na atualidade Com isso o resultado do servi o pode ser originado de fontes n o confi veis que possam explorar e executar ataques como XSS ou algum tipo de fraude Ben Itzhak 2013 c Explora o de Cookies Um dos ataques relacionados a esta t cnica o Cookie Tossing que se define na explora o de dados que s o dados armazenado e enviados pelo navegador atrav s de uma requisi o Gentile 2013 Rich Lundeen 2011 esses dados s o cookies que s o chamados de CookieHTTP Livshits and Chong 2013 Este conjunto de cookies por padr o n o s o acess veis via script porem s o pass veis ao acesso por seguirem as regras do escopo de cookie podendo ser acessados atrav s de uma requisi o Consequ ncias As falhas em PMO basicamente proporcionam vetores para diversos ataques j conhecidos Conforme na Tabela A 1 ilustra uma quebrar da Pol tica de Mesma Origem utilizando conven es como o jQuery JSONP e o YQL Para explorar um ataque de XSS atr
29. Mash IF practical information flow control within client side mashups Dependable Systems and Networks DSN 2010 IEEE IFIP International Conference on S 1 2010 WASSERMANN G Z S Static detection of cross site scripting vulnerabilities Software Engineering 2008 ICSE 08 ACM IEEE 30th International Conference on S 1 2008 WATANABE T ZIXUE CHENG KANSEN M H M A New Security Testing Method for Detecting Flash Vulnerabilities by Generating Test Patterns Network Based Information Systems NBiS 2010 13th International Conference on S 1 2010 WATKINS P Cross Site Request Forgeries WWW S 1 2001 WEINBERG Z CHEN E J P J C I Still Know What You Visited Last Summer leaking browsing history via user interaction and side channel attacks Security and Privacy SP 2011 IEEE Symposium S 1 2011 WINDER D Does Web 2 0 need security 2 0 Infosecurity S 1 2010 WOMBACHER A KOSTAKI P A K webXice an infrastructure for information commerce on the www System Sciences 2001 Proceedings of the 34th Annual Hawaii International Conference on S 1 2001 XING L Z Y C S A client based and server enhanced defense mechanism for cross site request forgery Lecture Notes in Computer Science including subseries Lecture Notes in Artificial S 1 2010 CESSO 10 12 13 2013 XSS CROSS SITE SCRIPTING PREVENTION CHEAT SHEET URL HTTPS WWW OWASP ORG INDJOWASPXSSPrevention XSS Cross Site Scri
30. OR trust OR untrust AND browser OR client side OR web client OR web application AND XSS OR cross site OR injection OR SQLi OR SQL OR injection OR Clickjacking OR UI Redressing OR fraud OR phishing OR malwares OR malversiting OR advertsing OR spoofing OR pharming OR fraud OR CSRF OR XSRF OR Cross site OR cross domain OR XHR OR Same Origin OR SOP OR cross domain OR plugin OR extension OR NPAPI OR short url OR add on OR sensitive data OR Weak protection Tabela 2 1 Comando de busca para o IEEEXplore resultou em 1 383 publica es Muitas das ocorr ncias n o estavam no contexto da pesquisa e foi necess rio realizar um refinamento manual baseado em crit rios de triagem O pouco refinamento da pesquisa foi proposital para evitar o risco de alguma publica o relevante ser exclu da sendo prefer vel deixar o comando de busca com escopo maior e deixar o refinamento a cargo de uma inspe o manual mais minuciosa composta por uma s rie de crit rios e posteriormente submetida a uma triagem Em seguida apresentado o processo de triagem considerando os seguintes crit rios 2 3 Crit rios de Inclus o a Relate sobre solu es de Seguran a Client side b Relate qualquer aspecto a Seguran a dos dados no Navegador Web c Relate sobre Falhas em Aplica es Web mas que tenha solu es baseadas em Client side d Relate sobre Engenharia Social mas que ten
31. PreparedJS secure script templates for javascript Lecture Notes in Computer Science including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics S 1 2013 JON HOWELL COLLIN JACKSON H J W FAN X MashupOS operating system abstractions for client mashups 11th Workshop on Hot Topics in Operating Systems S 1 2007 115 JOSHI Y DAS D S S Mitigating man in the middle attack over secure sockets layer Internet Multimedia Services Architecture and Applications IMSAA 2009 IEEE International Conference on S 1 2009 JOSHI Y SAKLIKAR S D D S S PhishGuard a browser plug in for protection from phishing Internet Multimedia Services Architecture and Applications 2008 IMSAA 2008 2nd International Conference on S 1 2008 JOVANOVIC N KIRDA E K C Preventing Cross Site Request Forgery Attacks Securecomm and Workshops 2006 S 1 2006 JR R C D CARVER C FERGUSON A J Phishing for user security awareness Computers Security S 1 2007 JUELS A JAKOBSSON M J T Cache cookies for browser authentication Security and Privacy 2006 IEEE Symposium on S 1 2006 JUN LI DONGTING YU MAURER L A resource management approach to web browser security Computing Networking and Communications ICNC 2012 International Conference on S 1 2012 JUNG J K K S S WebVaccine a client side realtime prevention system against obfuscated mal
32. S Pa d 9 e pF d S Rd rd d CES S NK v n q lt KC US al s Ferramentas submetidas Ferramentas submetidas Figura 4 8 Resultados da avalia o da Quest o 4 99 Resultado da Questao 5 Em rela o aos resultados obtidos nos testes do ataque A5 com exce o a SafePreview que apresentou seu comportamento como nulo as demais ferramentas conseguiram detectar o download de um Malware conforme descrito na Figura 4 9 Por m apenas a ferramenta Aegis conseguiu realizar a preven o contra uma Extens o maliciosa Avalia o de A5 Google Chrome Avalia o de A5 Mozilla FireFox 2 ki a y v a pu o T o z 0 pue Online Safe Preview Web of Trust Aegis Web of Trust WOT Security woT Ferramentas submetidas Ferramentas submetidas Figura 4 9 Resultados da avalia o da Quest o 5 Resultado da Quest o 6 O comportamento padr o das ferramentas de preven o dispon veis o controle de Cookies Conforme descrito na Figura 4 10 todas as ferramentas tiveram uma a o preventiva A TamperMonkey observou o armazenamento inseguro em LocalStorage por m apenas a Aegis cobriu todas as vulnerabilidades quanto aos componentes do HTML6 Al m disso as demais ferramentas apresentaram se com baixa cobertura quanto s observa es e comportamentos inseguros descritos neste estudo Avalia o de A6 Google Chrome Avalia o de A6 Mozilla FireFox 7 o T 6 gs
33. Simp sio Brasileiro de Sistemas de Informa o 2013 v 1 p 19 24 2 Silva C M R Rodrigues R B Campos G M M Ferreira W O Ferraz F S and Garcia V C 2013 An approach for Secure Mashup Composition Em IADIS 2013 International Conference WWW INTERNET 2013 ICW v 1 p 378 380 3 Silva C M R Rodrigues R B and Garcia V C 2014 SafeMash A Platform for Safety Mashup Composition Em WEBIST 2014 10th International Conference on Web Information Systems and Technologies 5 2 Limita es da Proposta Devido s restri es de tempo alguns dos problemas abordados nesta disserta o ainda est o em aberto na solu o apresentada neste estudo Al m disso algumas caracter sticas da proposta carecem de uma funcionalidade mais eficaz Eis alguns pontos que podem ser investigados como melhorias desej veis a saber e Melhorias nas funcionalidades do Filtro A2 Conforme descrito no Cap tulo 3 se o 3 3 2 planejada uma integra o com os resultados do SQLMap a fim de proporcionar uma an lise com maior n vel de profundidade buscando precis o aos resultados e Melhorias nas funcionalidades do Filtro A5 Conforme descrito no Cap tulo 3 se o 3 3 5 planejada uma melhoria em rela o checagem de arquivos em download uma vez que a Extens o precise pausar a transfer ncia a fim de coibir o t rmino do carregamento do arquivo antes da conclus o da inspe o isso trouxe
34. a an lise e classifica o de quais s o os Vetores e Ataques relacionados ao tema distribu das conforme ilustrado na Figura 2 2 A partir deste est gio se d inicio a constru o da Taxonomia sendo definida em tr s tipos de amea as e Falhas em Aplica es i Esta amea a tange as vulnerabilidades oriundas de falhas no desenvolvimento da aplica o web seja pela aus ncia ou inefici ncia de um solido processo de desenvolvimento seguro seja por brechas nas entradas da aplica o ou pela utiliza o de componentes com vulnerabilidades conhecidas e Engenharia Social ii A engenharia social possui um conceito muito amplo portanto importante salientar que no escopo desta pesquisa est intrinsecamente relacionada s a es il citas de usu rios mal intencionados que v o bem al m dos aspectos tecnol gicos como por exemplo persuadir um usu rio uma determinada a o que resulte na viola o de seus dados sens veis e Falhas em Navegadores Web iii Esta amea a proporcionada por componen tes ou complementos com vulnerabilidades conhecidas instalados no navegador Uma vez que o navegador trafega dados sens veis constantemente esta amea a quando presente proporciona um impacto de neg cio equivalente propaga o da popularidade destas ferramentas Durante a triagem foi observado que diante as tr s amea as apresentadas foram detec tados cinco vetores e nove ataques relacionados que ser o descri
35. al Anderson 2011 a desFigura o de uma pagina em um site na internet onde seus danos s o apenas est ticos Ou at mesmo executar um roubo de dados sens veis do usu rio como dados de sess o cookies ou redirecionamentos para sites maliciosos Um caso que chamou aten o foi quando em 2005 o usu rio Samy Kankar realizou um ataque no MySpace com que com o intuito de aumentar sua lista de amigos ele injetou um script em seu perfil fazendo com que qualquer visitante que visualizasse seu perfil se tornasse seu amigo na rede do MySpace OWASP 2012a Al m disso o scripts se propagava de forma viral fazendo com que tamb m adicionasse amigos ao Samy quando algu m visualizasse o perfil de um usu rio contaminado Com isso em menos de 20 horas Samy j possu a milh es de amigos e o site do MySpace ficou fora do ar por algumas horas para solucionar o problema em suas entradas de formul rios Mook 2006 O MySpace tinha como objetivo permitir que seus usu rios customizassem cores e efeitos nas informa es de seus perfis atrav s de c digos HTML 32 e CSS Apesar de possuir algumas restri es baseada em filtros Samy identificou uma falha nos crit rios de restri o conseguindo assim inserir um c digo JavaScript malicioso OWASP 2012a Uma das medidas de preven o de XSS adotadas pelos navegadores atuais a utiliza o de uma Pol tica de Seguran a de Conte do do ingl s Content Security Policy CSP Network
36. alfa e sua ltima vers o foi liberada em 2011 Para atender os requisitos desse estudo algumas funcionalidades precisaram ser incor poradas sendo necess rio realizar algumas modifica es e adi es de funcionalidades nesta biblioteca Al m disso por ser a biblioteca de c digo aberto facilitou o processo de adapta o garantindo apoio plenitude dos requisitos A documenta o da biblioteca do OWASP ESAPI padr o apoiada por muitos especialistas que auxiliam em constantes modifica es e melhorias esse um dos motivos para as atualiza es peri dicas das regras dos filtros do Aegis Esse estudo tem o objetivo de disponibilizar essa adapta o da biblioteca em JS para que possa ser incorporada ao projeto Client side do ESAPI Servi os Externos Os servi os externos s o funcionalidades dispon veis online e gratuitas que interagem em tempo real com o Servi o Aegis provendo recursos que auxiliam nos objetivos a serem alcan ados com base em entidades de excel ncia em solu es relacionados aos problemas em quest o Servi o Unshort me API O Unshort me um servi o gratuito que descobre a URL real de uma URL curta disponibilizando o seu servi o por meio de uma API em REST de f cil utiliza o e r pida resposta nas requisi es Servi o VirusTotal API O VirusTotal um servi o gratuito que contempla mais de 40 servi os de antiv rus online diferentes proporcionando maior precis o nas varreduras de div
37. alguns problemas quando realizado download em servidores que n o suportam rein cios e Melhorias nas funcionalidades do Filtro A7 Conforme descrito no Cap tulo 3 se o 3 3 7 o filtro ainda carece de boas funcionalidades principalmente no navegador Firefox O estudo identificou que devido s limita es do navegador esse filtro talvez apresente um comportamento mais eficiente se for executado em um contexto diferente quele proporcionado a uma extens o 106 5 3 Trabalhos Futuros Al m das limita es apresentadas tamb m pretendido adicionar funcionalidades at ent o n o planejadas no escopo deste estudo mas que garantem um desempenho mais satisfat rio da ferramenta proposta e Melhoria quanto aos Falsos Positivos O estado atual da proposta sugere o fator humano como solu o para o controle de falsos positivos por m como evolu o da ferramenta planejada uma realiza o de execu es dos filtros em Sandbox utilizando uma an lise baseada em comportamento do conte do resultante da execu o em isolamento Chr 2013 Adicionalmente tamb m pretendido utilizar intelig ncia artificial para as decis es do tipo de recurso a ser bloqueado e Preven o a ataques baseados em Esteganografia Um ataque relacionado inje o de c digo por m n o muito difundida na literatura no qual o ataque injetado em um arquivo de imagem um c digo malicioso capaz de ser processado pelo servidor we
38. atrav s desta avali o dever ser gerado um relat rio com as caracter sticas e peculiaridades encontradas durante a investiga o e tal relat rio servir para uso durante o desenvolvimento deste projeto e na escrita desta disserta o No terceiro passo ser o atividades de defini o da arquitetura que modela a ferramenta Aegis para isso ser o realizadas analises e estudos bem como valida es para que se possa fomentar a viabilidade de desenvolvimento da ferramenta Este processo de decis o arquitetural dever observar o ambiente de execu o da ferramenta ou seja uma ferramenta que interaja com o navegador e proporcione uma experi ncia com o usu rio No quarto passo ser descrito o desenvolvimento de um prot tipo funcional da ferra menta proposta e para isso ser o utilizadas ferramentas para apoio ao desenvolvimento 17 em cada um dos navegadores mais populares Para que os resultados sejam o mais pr ximo da realidade ser realizada uma valida o da ferramenta proposta Por m devido aos in meros cen rios propensos a viola o de dados bem como as consequ ncias da exposi o de dados sens veis a execu o em ambientes reais extrapolaria o cronograma da pesquisa Portanto foi definido que a ferramenta ser avaliada em ambientes controlados que reproduzem ambientes reais com vulnerabilidades existentes A valida o ser realizada no quinto passo que se caracteriza em uma analise dos principais
39. atualmente est muito comum em redes sociais uma vez que a usabilidade destes ambientes direcionada ao simples clique das coisas como bot es curtir ou com partilhar Mas nada impede que esta t cnica tamb m seja usada para sequestrar cliques de um teclado digital que s o muitas vezes utilizados em internet banking InfoSecurity 2012 Lundeen 2012 Principais T cnicas de Defesa a CSP Algumas medidas de preven o adotadas pelos navegadores atuais assim como em XSS tamb m utiliza a Pol tica de Seguran a de Conte do Network 2013b b Preven o em Frames Utiliza o das op es do Cabe alho HTTP X Frame impedindo modifica es nos atributos de um Frame e t cnicas de Frame Busting Balduzzi 2010 Gustav Rydstedt and Jackson 2010 Ataque 4 Redirecionamentos e Encaminhamentos Inv lidos A4 Vetor Relacionado 37 Vetor 2 Fraudes Defini o A revis o sistem tica mapeou a como a quarta amea a mais explorada na literatura com 144 publica es relacionadas Neste contexto est o s preocupa es relacionadas ao redirecionamento do usu rio durante a navega o Segundo OWASP 2013g as aplica es web frequentemente redirecionam e encaminham usu rios para outras p ginas e n o usam uma valida o adequada quanto aos par metros de redirecionamento de seu dom nio fazendo a v tima achar que uma determinada URL ir direciona la ao respectivo dom nio confi vel quando na verdade s o encaminhad
40. baseados em A2 67 3 3 3 Filtro A3 Ataques baseados em A3 69 3 3 4 Filtro A4 Ataques baseados em A4 72 3 3 5 Filtro A5 Ataques baseados em AS 73 3 3 6 Filtro A6 Ataques baseados em A6 74 3 3 7 Filtro A7 Ataques baseados em A7 78 3 3 8 Filtro A8 Ataques baseados em A8 79 3 3 9 Filtro A9 Ataques baseados em em A9 81 3 4 Limita es e Considera es Finais 2 2 00 5 4 Avalia o da Proposta 4 1 Metodologia 411 Planejamento o nus ox o ROC do E O So E 4 1 2 Defini o 4 1 3 Coleta de Dados 2 44 24 i464 454 244 sra PA EE 4 1 4 An lise dos Resultados 2 000000 Resultado da Quest o 1 lll ln Resultado da Quest o2 a Resultado da Quest o 3 2l len Resultado da Quest o 4 llle Resultado da Quest o 5 2l len Resultado da Quest o 6 2l len Resultado da Quest o 7 000 cee ee ee Resultado da Quest o 8 2 n aaa el Resultado da Quest 09 2 llle 42 Limita es da Avalia o lt 2 bebe eb ee eRe Rea oe 43 Considera es Finais 5 04 604 bee o o REE EYES 5 Conclus es e Trabalhos Futuros 5 1 Contribui es 3 2 Limita es da Froposta s udi xx Brg EA UA Dra ra ba dd 5 3 Trabalhos Futuros Refer ncias A Ap ndice 83 83 84 85 93 95 96 97 97 9
41. descritas de encaminhamento e redirecionamento Atualmente o Phishing ainda segue realizando grandes preju zos em todo o mundo Greg Aaron 2012 Principais T cnicas de Defesa a Confiabilidade no Dom nio Algumas medidas de preven o foram aplicadas como a sigla de seguran a b br no Brasil para endere o eletr nico dos sites de banco de S Paulo 2008 gerenciado pela organiza o do N cleo de Informa o e Coordena o do Ponto BR NIC br Por m uma medida ineficiente visto que poucos usu rios detectam estas minucias no endere o por muitas vezes n o precisar digitar o endere o no navegador j que os principais vetores s o disseminados atrav s de mensagens de e mail e o alvo em potencial s o usu rios de comercio eletr nico redes sociais companhias a reas e algum tipo de recadastramento que solicita dados sens veis b Controle de Phishing baseado em Lista Branca ou Negra Muito dos navegadores atuais tem a politica de proteger o usu rio baseado em uma Lista Negra atualizada periodicamente mas a tarefa bastante rdua devido a grande velocidade e demanda da atua o dos golpistas Prova disso conforme o Phishing da Figura A 1 onde foi registrado por este estudo que no dia 01 10 2013 as 16 15 este Phishing ainda era poss vel de ser executado por qualquer navegador popular e todos atualizados a exemplo do Google Chrome que nesta data e hor rio estava com suas atualiza es em dia na 39 vers o 3
42. eficientes contra os vetores de ataques aos dados sens veis do usu rio na web Em contrapartida nesse contexto h pressuposto de que a responsabilidade da seguran a dos dados est totalmente direcionada aos pro priet rios da aplica o dispon vel na web E isso vai ao encontro de um grande dilema quanto aos servi os prestados nesses ambientes determinando um questionamento como garantir que os propriet rios ir o de fato adotar fortes pol ticas de seguran a no desen volvimento e manuten o de suas aplica es Tais pol ticas uma vez ausentes podem propiciar in meras vulnerabilidades na aplica o Assad 2011 que podem comprometer os dados sens veis de seus usu rios Na mesma linha de racioc nio outro questionamento direcionado aos desenvol vedores de navegadores essas ferramentas s o consideradas os principais mecanismos de uso no ambiente da web Nesse contexto surge um questionamento como garantir que essas ferramentas sejam disponibilizas aos usu rios sem falhas que possibilitem a interven o de mal intencionados Ou ainda que possam trazer consequ ncias como vulnerabilidades em aplica es que at ent o n o eram vulner veis 2 Ou mesmo resultando no comprometimento de todo o sistema operacional Kaneshige 2009 E n o fosse o bastante os usu rios ainda s o suscet veis a a es de golpistas que forjam sites para roubar dados financeiros causando enormes preju zos Bestuzhev 2013 Esses fatos d
43. es sigilosas dos usu rios Principais T cnicas de Defesa As t cnicas utilizadas s o bastante similares as aplicadas para XSS conforme em Shar and Tan 2013 Venkatakrishnan et al 2010 Johns and Beyerlein 2007 Tamb m faz uso da An lise Est tica conforme em Halfond and Orso 2005b Fu et al 2007 Junjin 2009 Ataque 3 Clickjacking A3 Vetor Relacionado Vetor 2 Fraudes Defini o Conforme os resultados desta revis o sistem tica o Clickjacking foi identificado como o ataque menos explorado na literatura ao contexto do tema desta pesquisa foram mapeadas 31 publica es relacionadas Segundo OWASP 2013b Clickjacking que tamb m conhecido na literatura por UI Redressing um ataque que sequestra o clique do mouse mais precisamente quando o usu rio deseja clicar em algum link ou bot o dispon vel na pagina fazendo com que o usu rio acredite que realmente clicou no 35 bot o quando na verdade h elementos HTML sobrepondo o alvo muitas vezes DIV ou IFRAME O Clickjacking apresenta se como uma ou m ltiplas camadas transparentes ou opacas que se sobrep em com o objetivo de enganar o usu rio que tinha a inten o de clicar em um link ou bot o sobreposto MITRE 2009 conforme ilustrado na Figura 2 8 A Web Page gt C Q nip Elemento definido com opacity 0 e position absolute e com evento onClick que manipula o location href Vog ganhou um IPhone clique
44. ferramenta cobrisse ao menos uma das amea as e que tivesse seu conte do dispon vel de forma gratuita seja por download ou acesso online Na Tabela A 3 s o listadas as 28 aplica es resultantes da triagem inicial e sua respectiva cobertura quanto s amea as abordadas neste estudo Analisando o resultado ilustrado na Tabela A 3 foi observado que n o existe um ambiente controlado dispon vel que contenha os ataques A4 A5 e A7 Al m disso tamb m n o h avalia o de certos recursos do HTMLS relacionados os ataques Al A2 e A6 assim como alguns comportamentos apresentados por este estudo aos ataques Al A3 A8 e A9 que n o foram encontrados nos ambientes dispon veis Baseando nessas conclus es este estudo desenvolveu uma aplica o intitulada Aegis Web Threats ou AegisWT uma aplica o J2EE com vulnerabilidades intencionais que utiliza o framework HTMLS attack HTM 2013 desenvolvido pela AppSec Lab na qual traz cobertura em todos os ataques e re ne comportamentos aderentes ao tema proposto O objetivo da cria o dessa aplica o foi atender s amea as n o cobertas pelos ambientes dispon veis possibilitando a plena avalia o desta proposta Adicionalmente pretendido submeter essa aplica o para o projeto OBWP para que tal aplica o fa a parte do projeto e assim possa ser disponibilizada para outros estudos fazendo exemplo das aplica es Google Gruyere Peruggia e Bodgelt De posse das aplica es
45. fins lucrativos e utilizam o mesmo respaldo da OWASP Essa parceria possui diversas publica es dispon veis na literatura entretanto as consideradas mais intr nsecas a esta pesquisa s o as publica es Top 25 Most Dangerous Software Error SANS MITRE 2011 e a Common Attack Pattern Enumeration and Classification MITRE 2013a e CERT um centro de estudo para resposta e tratamento de incidentes em com putadores com diversos comit s de gest o em diversos pa ses Sua contribui o relacionada a este estudo o Securing Web Browser CER 2008 no qual apre senta defini es e boas pr ticas em ambientes client side e W3C O W3C a principal organiza o padronizadora da WWW A principal obra relacionada a publica o intitulada The World Wide Security FAQ W3C 2002 no qual prop em padr es e boas pr ticas que visam minimizar os principais problemas relacionados ao conte do distribu do na Web e HTMLSSecurity um grupo de pesquisa direcionado aos aspectos de seguran a em tecnologias que utilizam HTMLS Sua principal publica o a HTMLS Security Cheatsheet HTMLS5Sec 2013 que aponta uma serie de causas e preven es relacionadas a amea as nesta API nativa do navegador 2 1 Metodologia de Pesquisa Com os principais Ataques definidos o pr ximo passo foi utilizar uma metodologia para uma busca sist mica em fontes liter rias dispon veis online A metodologia baseada nas orienta es de Kit
46. fluxos a solicita o e resposta de filtragem conforme ilustrado nas Figuras 3 6 e 3 7 respectivamente No primeiro caso o usu rio manualmente solicita a Extens o para que verifique se um site A vulner vel ou n o SQLi Essa filtragem baseada em duas respostas primeiramente em uma an lise baseada em comportamento da aplica o e caso n o seja suficiente o pr ximo passo ser obter uma resposta atrav s da API do SQLMap No primeiro caso o processo tem uma resposta r pida e geralmente resolve vulnerabilidades mais evidentes O segundo caso uma opera o com maior profundidade que ocasionalmente resulta em um processamento custoso e quando solicitado pelo usu rio a Extens o ir definir o status do site como Em An lise Como um processo ass ncrono o usu rio poder posteriormente acessar outros sites ou at mesmo cancelar o pedido pendente de an lise O objetivo deste fluxo analisar se o site n o vulner vel em SQLi caso positivo o mesmo ser adicionado na lista branca de sites n o vulner veis 68 Usuario solicita i An lise de SQLi Conte do da Fim do P emSiteA Requisic o hub j sen A Definir o Status do site A para Em An lise Analisar um Comportamento SIM Possui N O sb M todo Ass ncrono ulnerabilidade M todo Assincrono OSiteA Vulner vel Remover o Site A Definir o Status Adicionar o Site A na lista de N o do Site A para na lista de N o sim Vulneraveis An
47. maior fundamenta o e embasamento na abordagem da proposta Como ponto de partida foi necess rio realizar um levantamento das considera es b sicas quanto s defini es e nomenclaturas j estabelecidas em publica es reconhecidas mundialmente sobre o tema proposto al m de serem mantidas por entidades com alto impacto e respaldo Diante os crit rios pr estabelecidos como ponto de partida foi poss vel selecionar sete publica es consideradas o prisma da proposta desta disserta o as quais est o distribu das entre cinco entidades que desenvolveram e mant m seus respectivos trabalhos Segue uma breve introdu o sobre as referencias selecionadas agrupadas por sua respectiva institui o mantenedora e OWASP uma entidade sem fins lucrativos e de respaldo internacional que visa 19 melhorias e boas praticas de seguran a avaliando riscos e preven es aos principais ataques realizados em aplica es web Sua principal publica o relacionada ao tema deste estudo o OWASP Top Tem 2013 OWASP 2013g que descreve OS principais ataques e riscos mais explorados atrav s de vulnerabilidades em aplica es Web Outras obras tamb m relacionadas s o os guias de preven es conhecidos como Owasp Cheat Sheets OWASP 2012b que a principio voltados para o desenvolvimento tamb m abordam t cnicas que podem ser utilizadas em prote es Client side e SANS MITRE S o duas entidades que tamb m n o possuem
48. navegador interviu na reprodu o dos testes Finalmente fica estabelecido o ambiente controlado para a Coleta de Dados conforme a Figura 4 4 na qual descreve o cen rio de extra o de dados necess rios para uma avalia o das Extens es submetidas aos testes E na Tabela A 4 s o listadas as Extens es que foram submetidas aos testes com base na Tabela 2 5 com suas respectivas vers es utilizadas nessa avalia o Os testes foram realizados utilizando um Computador Desktop Core i5 com 4GB de RAM com o Windows 7 Ultimate como sistema operacional e uma conex o com a Internet por meio de um link da Oi Velox de 10mb Estes recursos comp em o ambiente controlado para a execu o das Quest es Q com suas respectivas M tricas M com base das defini es descritas na Tabela 4 1 nm m Aplica o Teste Selenium sunit va v m WebDriver T v2 39 Google Chrome v31 0 01650m Standalone v2 39 luk ma Ms Navegador Web Mozilla FireFox v26 0 Selenium Server Q2 gt M3 OWASP Web Goat v5 4 J2EE Aegis Web Threats gt M3 v0 1 J2EE M1 M2 E M2 M1 M7
49. ncias registradas Esse ataque em muitas de suas facetas utilizam recursos de JS do navegador onde permite que seu executor envie dados nao confi veis para o sistema como scripts malici osos que sem uma devida valida o nas entradas a aplica o acaba por permitir este tipo de dado e faz com que o navegador interprete o c digo e reproduza um comportamento que traga algum transtorno ao usuario MITRE 2013a Existem tr s tipos de XSS XSS Persistente Possibilita que um c digo malicioso seja permanentemente arma zenado na aplica o fazendo com que essa informa o quando consumida far com que o navegador execute uma interpreta o arbitr ria tornando qualquer usu rio visitante uma v tima OWASP 2013g Um exemplo dessa pr tica conseguir inserir um c digo malicioso em algum campo de um formul rio que persiste suas informa es em um banco de dados e que posteriormente esses dados possam ser recuperados por qualquer usu rio 29 da aplica o OWASP 2013g Este tipo de XSS o mais destrutivo pois possibilita que um grande n mero de usu rios tornem se vitimas atrav s de uma nica falha na aplica o Conforme na Figura 2 5 ilustrado um exemplo mais comum de XSS Persistente c a esc a Envie sua mensagem para Forum A Exibindo mensagens em Forum A Titulo Usuario a Alert Teste de XSS Mensagem Men lt script gt alert XSS lt script gt Ok malic
50. o auto completar habilitados em formul rios ou armazenamentos indevidos em Cache ou o Storage do HTML5 MITRE 2012a OWASP 2009 Outras falhas s o aus ncias de HTTPS para o trafego de dados sens veis OWA 2013 0WASP 2013g Aplica o esc a K Pa de Eonet o HTTPS udi Habilitar Auto Completar Acesso a Cookies em Formul rios Hist rico de Navegac o e Cache HTML Utiliza o indevida de E a recursos do HTML5 Figura 2 12 Aspectos da Exposi o de Dados Sens veis Consequ ncias Alguns dos grandes incidentes durante os anos foi o caso da empresa Adobe em outubro de 2013 onde sua base de dados foi invadida comprometendo mais de 130 milh es de senhas de usu rios SCHROEDER 2013 Outro caso da Target Corporation a segunda maior rede varejista da Am rica e hackers conseguiram explorar brechas de seguran a das quais acarretaram em um roubo de mais de 40 milh es de cart es de cr dito Goldman 2013 Target 2013 Principais T cnicas de Defesa a Tr fego seguro para dado sens vel Algumas medidas de seguran a como O HTTPS e a criptografia s o bastante utilizadas em ambientes com trafego de dados sens veis o grande problema que nem sempre s o aplicadas nas aplica es que manipulam dados sens veis Algumas publica es na literatura direcionam seus estudos baseado nas medidas aplicadas pelo HTTPS a saber Fung 2010 Jackson and Barth 2008b Chen et al 2009 b Con
51. por agentes mal intencionados e projetados atrav s de vetores que s o os m todos pelos quais os agentes os executam e a consequ ncia do sucesso de um ataque a viola o dos dados do usu rio Como a maioria dos conte dos da web s o direcionados aos navegadores um dos vetores mais comuns a explora o por vulnerabilidades contidas nestas aplica es No decorrer dos anos surgiu um crescente interesse na explora o e combate destas vulnerabilidades como mostram algumas competi es focadas no descobrimento de falhas nos navegadores mais populares da atualidade G1 2009 com casos alarmantes como o comprometimento do sistema operacional Mac 2009 IDG 2009 Outro vetor muito explorado o qual o agente utiliza engenharia social para propagar um esquema il cito conhecido como fraude com objetivo de obter informa es do usu rio como dados ou at mesmo cliques sem a devida autoriza o CER 2012b Um dos meios mais comuns de aplicar uma fraude atrav s de programas maliciosos denominado de Malwares CER 2012a Outra possibilidade de fraude atrav s de Phishing pr tica bastante explorada em todo o mundo Greg Aaron 2012 Al m disso muitas vezes por falta de uma s lida politica de desenvolvimento seguro alguns sites ou servi os s o disponibilizados na web apresentando falhas de seguran a OWASP 2013g Essa negligencia dar origem a uma s rie de vetores dentre os quais possibilita que um mal intencionado exp
52. qual em formul rios sem uma devida valida o aceita com ponentes HTML como uma imagem e no endere o desta informado uma URL forjada e que ser executada sempre que algum usu rio acessar a referida imagem combinando assim conceitos de CSRF e XSS Cittzen 2007 Consequ ncias O CSRF herda a identidade e os privil gios da vitima para realizar uma opera o indesejada em nome do usu rio final um exemplo foi ocorr ncia de vulnerabilidade de CSRF no Office365 Rich Lundeen 2011 Principais T cnicas de Defesa a Utiliza o de Tokens nas Requisi es Exige que a requisi o possua um Token para garantir a legitimidade da mesma Dacosta et al 2012 Mao et al 2009 Wang 2013a b Utiliza o de Cabe alhos HTTP Preventiva utiliza o dos par metros Referer e Origin para prevenir requisi es de dom nios n o validados De Ryck 2011 Adam Barth and Mitchell 2008a Ataque 9 Falhas nas Politicas de Mesma Origem A9 Vetor Relacionado Vetor 5 Ataques de Dom nio Cruzado 47 Defini o Com 99 publica es um ataque relativamente explorado na literatura Os browsers atuais possuem algumas medidas de seguran a como a Pol tica de Mesma Origem PMO W3C 2013b respons vel por inibir que uma mesma p gina carregue conte dos de dom nios distintos resultando em restri es em ambientes que utilizam o objeto XMLHttpRequest XHR atrav s de JavaScript JS Principais T cnicas de Ataque a
53. relacionados a cada Vetor correspondente Foi poss vel ent o dividir os Ataques entre cinco vetores distintos sendo tamb m poss vel concluir que o Vetor com maior n mero de publica es na literatura a Explora o por Inje o de C digos e as publica es referentes a Componentes ou Complementos Inseguros fazem parte do seleto menos explorado na literatura Nas pr ximas se es s o descritos em mais detalhes a classifica o dos Vetores de Ataques Vetor 1 Inje o de C digos Trata se do vetor mais explorado na literatura com 370 publica es selecionadas e seus relatos iniciaram se na literatura em meados do ano 2000 A inje o de c digo resultante de uma falha no tratamento de entradas da aplica o como dados em formul rios ou arquivos Essas falhas s o muito predominantes principalmente em sistemas legados e dentre todos os vetores esse a que possui maior facilidade de detec o OWASP 2011 Em contrapartida ainda bastante recorrente nas aplica es SANS MITRE 2011 MITRE 20134 e possui um maior fator de impacto nos neg cios pois uma vez vulner vel uma aplica o pode comprometer completamente um servidor web ou toda sua base de dados OWASP 2013g Vetor 2 Fraudes O terceiro Vetor mais explorado na literatura com 186 publica es encontradas com foco nas fraudes que s o frutos de sites mal intencionados que furtam informa es dos 26 visitantes atrav s de engenharia soci
54. sobreposi o de campos em formul rios 98 Avalia o de A3 Google Chrome Avalia o de A3 Mozilla FireFox 3 R S EE a uw 3 as S z 0 Aegis Clickjacking Test Zscaler Likejacking Aegis No Script Clickjacking Reveal Prevention Ferramentas submetidas Ferramentas submetidas Figura 4 7 Resultados da avalia o da Quest o 3 Resultado da Questao 4 Conforme ilustrado na Figura 4 8 o destaque negativo quanto prote o aos ataques A4 Com exce o da Aegis nenhuma outra ferramenta foi capaz de detectar o Phishing em uma URL curta definido como a segunda m trica desta avalia o Tal fato possibilita que o usu rio clique em um link e com isso acaba jogando a responsabilidade de preven o do Phishing para o navegador Dessas ferramentas a nica preven o apresentada foi referente ao ataque de forma mais b sica descrito na primeira m trica Ainda sim duas ferramentas tiveram um comportamento nulo devido ao fato de serem baseadas em uma lista negra que possui um consider vel tempo de deprecia o O fato foi comprovado pois os testes utilizaram Phishing catalogados e confirmados no dia anterior no PhishTank um tempo mais que suficiente para um mal intencionado realizar a es il citas em centenas de usu rios Avalia o de A4 Google Chrome Avalia o de A4 Mozilla FireFox a a S S o N M todos Detec o ta o EY a e A S A A Oo amp ri S L 3 F Q
55. 0 0 1599 66m e mesmo assim foi poss vel acessar o conte do da Figura A 1 Seguindo a mesma proposta da prote o nativa dos Navegadores existem solu es de terceiros que visam proteger a navega o do usu rio em tempo real conforme em Tan 2009 Raffetseder et al 2007 Aggarwal 2012 Yue Wang Agrawal 2008 Joshi 2008 Nakayama 2009 Para o caso das modifica es em par metros de URL legitimas as aplica es podem utilizar uma politica de Lista Branca para endere os validos em seus redirecionamentos Ataque 5 Complementos Maliciosos A5 Vetor Relacionado Vetor 2 Fraudes Defini o Com base nesta revis o sistem tica com apenas 27 publica es este ataque foi considerado o menos explorado na literatura Este ataque representa outro vi s da Fraude e ocorre quando o usu rio redirecionado para um ambiente onde promete aos seus visitantes ferramentas para otimizar o seu navegador ou auxiliar na reprodu o de algum formato de m dia atrav s dele mas que na verdade trata se de um Trojan ou cavalo de Tr ia como no caso em IDGNow 2013c que segundo CER 2012a um programa que atua como hospedeiro e embora em alguns casos ainda execute as fun es para as quais foi aparentemente projetado seus principais objetivos s o outros normalmente maliciosas como o monitoramento do trafego ou coleta de dados sem o consentimento e devida autoriza o do usu rio Principais T cnicas de Ataque a Atrav s d
56. 0 2006 45 Anti Phishing Firefox 1 0 Clickjacking Reveal Firefox 11 Clickjacking Test Chrome 1 0 CSRF Finder Firefox 1 2 ImmuniWeb Self Fuzzer Firefox 0 9 3 Netcraft Extension Chrome Firefox 1 3 0 1 8 3 No Script Security Suite Firefox 2 6 8 5 RequestPolicy Firefox 0 6 28 RightClickXSS Firefox 0 2 1 Safe Preview Chrome Firefox 2 0 0 1 1 2 ScriptSafe Chrome 1 0 6 16 SQL Inject Me Firefox 0 4 7 TamperMonkey Chrome 3 7 3703 Toogle Cookies Firefox 0 7 4 Web of Trust WOT Chrome Firefox 2 3 1 20131118 Websecurify Chrome 4 0 0 XSS chef Chrome 1 0 XSS Me Firefox 0 4 6 Zscaler Likejacking Prevention Chrome 1 1 9 Tabela A 4 Listagem das Extens es submetidas aos testes 4Vb1 DD amp W b2 L Web L 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2010 2011 2012 2013 em 88 WLOIN TOD WM SION 000000009009 ee 00000000 886 Figura A 3 Distribui o das principais publica es durante a evolu o da web SOS66608 3000000 as SOS66S0S 0000000009 129 1994 1995 1996 1997 1998 1Bina 1994 1Snell 1995 1Shepherd 1996 IMeyer 1997a 1Anupam 1998 2Gifford 1995 2Kolletzki 1996 2Meyer 1997b 2Jenkin 1998 3Rouaix 1996 3Balfanz 1997 3Hassler 1998 4Malkhi 1998 5Security 1998 1999 2000 2001 2002 2003
57. 011 17Fung 2011 18S00d 201 1a 19Anderson 2011 20Heiderich 2011 21Arulsuju 2011 22Weinberg 2011 23Sood 2011b 24Pelizzi 2011 25Yue 2011 26Chen 2011 27Siddi qui 2011 28Gastellier Prevost 2011a 29Gastellier Prevost 2011c 30Sood and Enbody 2011b 31Alazab et al 2011 32Ali et al 2011 33Khoury et al 2011 34Maurer 2011 35Chhabra 2011 36Akiyama 2011 37Sood and Enbody 201 1a Tan 2012 8Balasundaram and Ramaraj 2012 9Chan drashekhar et al 2012 10Shi et al 2012 11Oriyano and Shi monski 2012 12Shar 20124 130jamaa 2012 14Nunan 2012 15Gen Lu Debray 2012 16Aldwairi 2012 17Sun 20129 18Koizumi 2012 19Sun 2012b 20Qu rashi 2012 21Jun Li Dongting Yu Maurer 2012 22Matsuda 2012 23Wagner 2012 24Sub sorn 2012 25Yuan 2012 26Shahriar 2012 27Lundeen 2012 28Aggarwal 2012 29Zhengqin Luo Rezk 2012 30Serrhini 2012 31Maurer 2012 32Puangpronpitag 2012 33Shar 2012b 34Kol bitsch 2012 35Choudhary 2012 36Hodovan 2012 37Jagnere 2012 38Lekies 2012 390rman 2012 rara 2013 8Johns 2013 9Bozic 2013 10Sung 2013 11Nikiforakis 2013 12Xu 2013 13Bielova 2013 14Ofuonye and Miller 2013 15Maffeis 2013 16Stock 2013 17Wang 2013a 18Kirda 2013 19Raichal et al 2013 20Shar and Tan 2013 21Shahriar 2013 22Armando et al 2013 23Lee et al 2013 24Hernand
58. 10 12 13 WebRequest CHROME WEBREQUEST URL http developer chrome com extensions webrequest htmlimplementation acesso 10 12 13 2013 CIAMPA A VISAGGIO C DI PENTA M A heuristic based approach for detecting SQL injection vulnerabilities in web applications Proceedings International Conference on Software Engineering S 1 2010 CLAESSENS J et al On the Security of Today s Online Eletronic Banking Systems Computers Security S 1 2002 COLLIN JACKSON ANDREW BORTZ D B MITCHELL J C Protecting Browser State from Web Privacy Attacks 15th International World Wide Web Conference S 1 2006 CRISPO B LANDROCK P JR V M WWW security and trusted third party services Future Generation Comp Syst S 1 v 16 2000 CRITES S H F C H OMash enabling secure web mashups via object abstractions Proceedings of the ACM Conference on Computer and Communications Security S 1 2008 DE RYCK P D L H T P F J W CsFire transparent client side mitigation of malicious cross domain requests 2nd International Symposium on Engineering Secure Software and Systems S 1 2010 DE RYCK P D L J W P F Automatic and precise client side protection against CSRF attacks Lecture Notes in Computer Science including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics S 1 2011 DE ZOYSA K MUFTIC S Bi directional Web document protection system for serious
59. 12 13 2009 HALFOND W ORSO A AMNESIA analysis and monitoring for neutralizing sql injection attacks 20th IEEE ACM International Conference on Automated Software Engineering ASE 2005 S 1 2005 HALFOND W ORSO A Detection and Prevention of SQL Injection Attacks Advances in Information Security S 1 2007 HALLARAKER O VIGNA G Detecting malicious JavaScript code in Mozilla Engineering of Complex Computer Systems 2005 ICECCS 2005 Proceedings 10th IEEE International Conference on S 1 2005 HASSLER V THEN O Controlling applets behavior in a browser Computer Security Applications Conference 1998 Proceedings 14th Annual S 1 1998 HECHT J When web browsers turn bad New Scientist S 1 2007 HEIDERICH M F T H T IceShield detection and mitigation of malicious websites with a frozen dom Lecture Notes in Computer Science including subseries Lecture Notes in Artificial S 1 2011 HERNANDEZ ARDIETA J L et al A taxonomy and survey of attacks on digital signatures Computers Security S 1 2013 HERTZUM M JRGENSEN N NRGAARD M Usable Security and E Banking ease of use vis a vis security Australasian J of Inf Systems S 1 v 11 n 2 2004 HODOVAN R KISS A Security Evolution of the Webkit browser engine Web Systems Evolution WSE 2012 14th IEEE International Symposium on S 1 2012 HOFF T P CREVATIN M von HTTP digest authentication in embedded auto
60. 3 2013 FORD S COVA M K C V G Analyzing and Detecting Malicious Flash Advertisements Computer Security Applications Conference 2009 ACSAC 09 Annual S 1 2009 FREDRIKSON M LIVSHITS B RePriv re imagining content personalization and in browser privacy Security and Privacy SP 2011 IEEE Symposium on S 1 2011 FRENZ C M YOON J XSSmon a perl based ids for the detection of potential xss attacks Systems Applications and Technology Conference LISAT 2012 IEEE Long Island S 1 2012 FUKUSHIMA Y HORI Y S K Proactive Blacklisting for Malicious Web Sites by Reputation Evaluation Based on Domain and IP Address Registration Trust Security and Privacy in Computing and Communications TrustCom 2011 IEEE 10th International Conference on S 1 2011 FUNG A P H CHEUNG K HTTPSLock enforcing https in unmodified browsers with cached javascript Network and System Security NSS 2010 4th International Conference on S 1 2010 FUNG B S Y LEE P A Privacy Preserving Defense Mechanism against Request Forgery Attacks Trust Security and Privacy in Computing and Communications TrustCom 2011 IEEE 10th International Conference on S 1 2011 GALAN E ALCAIDE A O A B J A multi agent scanner to detect stored XSS vulnerabilities Internet Technology and Secured Transactions ICITST 2010 International Conference for S 1 2010 112 GAMMA E et al Design Patterns elements of reu
61. 8 99 99 100 100 101 101 102 103 104 105 106 107 144 12 Introdu o Segundo a pesquisa da Mashable Mas 2013 ilustrada na Figura 1 1 em 1992 a web era utilizada quase que exclusivamente por usu rios norte americanos onde chegavam a representar 66 destes usu rios que navegavam na rede mundial de computadores Contudo a web nos dias atuais est de fato considerada globalizada um bom exemplo disso que no mesmo estudo foi identificado que a partir do ano de 2012 os usu rios de outras partes do mundo j representavam 87 de todo o trafego da web fazendo a hegemonia norte americana despencar para 13 The World Wide Web is Now Truly Global Regional distribution of worldwide internet users aged 15 and older as of December 2012 d P D Pp EE United states EB North America J Asia Pacific J Europe Rest of the World E Middle East and Africa J Latin America statista Mashable Source comScore The Statistics Portal Figura 1 1 Pesquisa realizada pela Mashable em 2013 Como justificativa deste crescimento a evolu o que a web e seus meios de nave ga o sofreram nos ltimos anos Neste per odo a Internet ganhou for a e impulsionou 13 o surgimento de mecanismos que proporcionavam usabilidade durante a navega o na web Estas ferramentas ficaram conhecidas como Navegadores Web e em pouco tempo tornaram se de extrema import ncia no que diz respeito ao consumo de i
62. Computer Security Applications Conference 2008 ACSAC 2008 Annual S 1 2008 ZAVOU A A E P G K A Exploiting split browsers for efficiently protecting user data Proceedings of the ACM Conference on Computer and Communications Security S 1 2012 ZHANG S C Z M Y M W M Pretty Bad Proxy an overlooked adversary in browsers https deployments Security and Privacy 2009 30th IEEE Symposium on S 1 2009 ZHENGQIN LUO REZK T Mashic Compiler mashup sandboxing based on inter frame communication Computer Security Foundations Symposium CSF 2012 IEEE 25th S 1 2012 125 Ap ndice ERVI OS TAM FIDELIDADE EXPERI NCIA e Fidelidade EU FIDELI a Meu Cadast is Bilh Movimenta es TAM Fidelidade DE a M Naucard a Solicita o Po a Assinatura Eletr a Cart o Provis rio a Segunda Via a D vidas Frequentes O PROGRAMA a Bene icios a Categorias a Regras a Star Alliance Alian a Pontos em voos TAM toda a malha a rea TAM e dg a Pontos em voos Alianas a Rede de Parceiros a Cart o TAM Itaucard N mero TAM Fidelidade Um valor necess rio Assinatura Eletr nica Um valor necess rio Senhs Resgate 4 ou 5 digitos IO RESGATAR PONTOS n Celular pars Recebimento SMS CONHE A AQUI TODAS Um valor necess rio AS FORMAS DE RESG i Passagens pr mio Um valor necess rio Upgrade de clas Multiplus F
63. E Centro diac term U F P E Aegis Um Modelo de Prote o Dados Sens veis em Ambientes Client side Por Carlo Marcelo Revoredo da Silva Dissertac o de Mestrado Lia ne ne JE Universidade Federal de Pernambuco posgraduacao cin ufpe br www cin ufpe br posgraduacao RECIFE FEVEREIRO 2014 ne 44 Universidade Federal de Pernambuco Centro de Inform tica P s gradua o em Ci ncia da Computa o E ETE Carlo Marcelo Revoredo da Silva Aegis Um Modelo de Protec o Dados Sens veis em Ambientes Client side Trabalho apresentado ao Programa de P s gradua o em Ci ncia da Computa o do Centro de Inform tica da Univer sidade Federal de Pernambuco como requisito parcial para obten o do grau de Mestre em Ci ncia da Computa o Orientador Vinicius Cardoso Garcia RECIFE FEVEREIRO 2014 Cataloga o na fonte Bibliotec rio Jefferson Luiz Alves Nazareno CRB 4 1758 Silva Carlo Marcelo Revoredo da Aegis um modelo de prote o dados sens veis em ambientes client side Recife O Autor 2014 130f fig tab Orientador Vinicius Cardoso Garcia Disserta o Mestrado Universidade Federal de Pernambuco Cin Ci ncia da computa o 2014 Inclui refer ncias e ap ndice 1 Ci ncia da computa o 2 Seguran a da informa o Garcia Vinicius Cardoso orientador Il T tulo 004 22 ed MEI 2014 63 Disserta o de Mestrado apresentad
64. Firefox Portanto o estudo considerou necess ria a utiliza o desse servi o da OpenDNS Al m disso outros navegadores utilizam o servi o do PhishTank internamente por m a lista s sincronizada quando um novo release do navegador est dispon vel E a exemplo dos demais servi os de terceiros integrados nesta proposta o servi o do Phishtank tamb m pode ser acessado atrav s de uma API em REST 3 3 Funcionalidade dos Filtros Nesta se o s o descritos os filtros que visam minimizar as nove amea as mais exploradas quanto viola o de dados sens veis do usu rio de navegador web As principais medidas tomadas pelos filtros para alcan arem seus objetivos bloquear os recursos do navegador ou aplicar a es preventivas quando o conte do em quest o possui algum comportamento considerado hostil ao usu rio Um ponto positivo por ser uma defesa client side que o usu rio pode ter uma intera o maior com a ferramenta como por exemplo ele poder indicar que um determinado site enquadra se em uma regra de exce o representado por uma lista branca para cada filtro Essa lista serve para indicar para a ferramenta que apesar do site em quest o ter um comportamento suspeito o mesmo considerado confi vel pelo usu rio resolvendo assim os problemas de falsos positivos Por quest es did ticas ser o apresentados fluxogramas que representam a funcionalidade de cada filtro espec fico sendo importante frisar qu
65. Guard a behavior based solution to drive by download attacks Selected Areas in Communications IEEE Journal on S 1 2011 CHEN P Z J S H Insecure JavaScript Detection and Analysis with Browser Enforced Embedded Rules Parallel and Distributed Computing Applications and Technologies PDCAT 2010 International Conference on S 1 2010 CHHABRA S A A B F K P Phi sh oCiaL the phishing landscape through short urls ACM International Conference Proceeding Series S 1 2011 CHO S CHA S SAD web session anomaly detection based on parameter estimation Computers Security S 1 2004 110 CHOMSIRI T HTTPS Hacking Protection Advanced Information Networking and Applications Workshops 2007 AINAW 07 21st International Conference on S 1 2007 CHOUDHARY S DINCTURK M B G J G V O I I P Solving Some Modeling Challenges when Testing Rich Internet Applications for Security Software Testing Verification and Validation ICST 2012 IEEE Fifth International Conference on S 1 2012 CESSO 10 12 13 2013 CHROME DECLARATIVEWEBREQUEST URL HTTP DEVELOPER CHROME COM EXTENSIONS DECLARATIVEWEBREQUEST HTML ACESSO 10 12 13 DeclarativeWebRequest CHROME DECLARATIVEWEBREQUEST URL http developer chrome com extensions declarativewebrequest html acesso 10 12 13 2013 CESSO 10 12 13 2013 CHROME WEBREQUEST URL HTTP DEVELOPER CHROME COM EXTENSIONS WEBREQUEST HTMLIMPLEMENTATION ACESSO
66. Implementa o da Proposta A solu o proposta nesta disserta o denominada Aegis apresenta se como uma solu o leve e acopl vel aos navegadores web mais populares da atualidade Tem o intuito de proteger a navega o do usu rio objetivando minimizar as a es dos principais ataques mencionados no Cap tulo 2 Nas pr ximas se es s o apresentados em detalhes os seguintes aspectos do desenvolvimento da ferramenta proposta nesta disserta o a saber i Decis es de Projeto ii Arquitetura e iii Principais Funcionalidades Todas as conclus es desses aspectos tiveram base nos resultados obtidos no Cap tulo 2 3 1 Decis es de Projeto Para uma solu o que visa apoiar o navegador proporcionando uma navega o segura para o usu rio algumas decis es foram levantadas considerando o p blico alvo cen rio de atua o e tipo de ferramenta 3 1 1 Publico alvo e cen rio de atua o O p blico alvo o usu rio de navegador web que carece de uma solu o nica que possa minimizar Os principais ataques que violam seus dados sens veis A ferramenta precisa interagir o m ximo poss vel com o usu rio e sua navega o pela web portanto o cen rio ideal da proposta est nos navegadores mais populares O nome Aegis vem da mitologia grega era o escudo revestido com a pele da Medusa e pertencia deusa Atena 56 3 1 2 Tipo de ferramenta a ser desenvolvida Escolhidos o p blico alvo e cen ri
67. LocalStorage O objetivo da Aplica o Teste ser recuperar um par metro que armazena o ID da sess o do usu rio indicando que o recurso apesar do comportamento inseguro ainda encontra se dispon vel 4 Aegis Web Threats A Aplica o Teste ir acessar uma p gina na qual realiza a autentica o por meio do par metro Authorization do tipo Basic O objetivo da Aplica o Teste ser conseguir efetuar logon mesmo que o protocolo em quest o n o seja HTTPS 5 Aegis Web Threats A Aplica o Teste ir acessar uma p gina que armazena dados sens veis atrav s de IndexDB O objetivo da Aplica o Teste ser recuperar um par metro que armazena o ID da sess o do usu rio indicando que o recurso apesar do comportamento inseguro ainda encontra se dispon vel 6 Aegis Web Threats A Aplica o Teste ir acessar uma p gina na qual realizar um logon em um formul rio Em se guida a Aplica o Teste ir fechar o navegador com a sess o ativa Ao final do teste se a inst ncia do navegador estiver ativa significa que o processo foi realizado de forma insegura 7 Aegis Web Threats A Aplica o Teste ir acessar uma p gina na qual possui um formul rio para autentica o Os dados permitem armazenar as informa es imputadas al m de por meio de padr o traz marcada a op o para lembrar a autentica o Uma vez submetido o formul rio de autentica o com os comportamentos inseguros a Aplica o Teste ir consi
68. N Noxes a client side solution for mitigating cross site scripting attacks Proceedings of the ACM Symposium on Applied Computing S 1 2006 KIRDA E KRUEGEL C Protecting users against Phishing attacks with AntiPhish Computer Software and Applications Conference 2005 COMPSAC 2005 29th Annual International S 1 2005 KIRDA K O M B B W R E Securing legacy firefox extensions with SENTINEL DIMVA 13 Proceedings of the 10th international conference on Detection of Intrusions and Malware and Vulnerability Assessment S 1 2013 KOIZUMI D M T S M On the automatic detection algorithm of Cross Site Scripting XSS with the non stationary Bernoulli distribution Proceedings of the 5th International Conference on Communications Computers and S 1 2012 KOLBITSCH C LIVSHITS B Z B S C Rozzle de cloaking internet malware Security and Privacy SP 2012 IEEE Symposium on S 1 2012 KOLLETZKI S Secure internet banking with Privacy enhanced mail a protocol for reliable exchange of secured order forms Computer Networks and Systems S 1 1996 KRUEGEL C VIGNA G ROBERTSON W A multi model approach to the detection of web based attacks Computer Networks S 1 2005 LARANJEIRO N VIEIRA M MADEIRA H A learning based approach to secure web services from SQL XPath Injection attacks Proceedings 16th IEEE Pacific Rim International Symposium on Dependable Computing PRDC 2010 S 1 2010
69. O fluxograma na Figura 3 10 descreve os m todos de an lise e bloqueio de um link nocivo Neste filtro o processo realizado em dois m todos do WebRequest A filtragem se inicia com o m todo onBeforeRequest que realizar a sub rotina anti Phishing anteriormente apresentada na se o da amea a A3 Posteriormente a a o do filtro ocorrer no recebimento da resposta da requisi o atrav s do m todo onCompleted e o comportamento do filtro ser coletar o conte do a ser exibido ao usu rio De posse desse conte do o pr ximo passo ser coletar todos os elementos que possuam URL sejam links ou elementos com eventos JS que possuam uma URL O objetivo analisar a URL de cada elemento e submeter aos resultados da sub rotina anti Phishing uma vez contendo uma URL nociva o elemento ser modificado Importante lembrar que o procedimento ass ncrono e limita se em at 100 links por p gina o restante ficaram desabilitados e ser o filtrados pela confirma o do usu rio Entrando em mais detalhes quanto ao processo de modifica o dos elementos quando um link for detectado como nocivo ter sua funcionalidade desabilitada e a modifica o ser anunciada ao usu rio por meio de um bal o do tipo ToolTip A checagem realizada no momento em que toda a p gina carregada garantindo assim que todos os elementos sejam capturados onBeforeRequest 4 Sub rotina ERDADEIRO Notificar Phishing ao anti Phishing non
70. ORT S 1 WhiteHat Security 2013 SEIFERT C WELCH I K P Identification of Malicious Web Pages with Static Heuristics Telecommunication Networks and Applications Conference 2008 ATNAC 2008 Australasian S 1 2008 120 SERRHINI M DARGHAM A A M A Improve security of web Browser with stand alone e Learning awareness application Multimedia Computing and Systems ICMCS 2012 International Conference on S 1 2012 SHAHRIAR H W K L T Z M A model based detection of vulnerable and malicious browser extensions Proceedings 7th International Conference on Software Security and Reliability SERE 2013 S 1 2013 SHAHRIAR H Z M Trustworthiness testing of phishing websites a behavior model based approach Future Generation Computer Systems S 1 2012 SHAHRIAR H ZULKERNINE M Client Side Detection of Cross Site Request Forgery Attacks Software Reliability Engineering ISSRE 2010 IEEE 21st International Symposium on S 1 2010 SHAR L K H B K T Defending against Cross Site Scripting Attacks Computer S 1 2012 SHAR L K TAN H B K Automated removal of cross site scripting vulnerabilities in web applications Information and Software Technology S 1 2012 SHAR L TAN H Predicting SQL injection and cross site scripting vulnerabilities through mining input sanitization patterns Information and Software Technology S 1 2013 SHAR L K T H Auditing the XSS de
71. Pp KURL est r no 3 A URL RL est na sna UTAO 7 URL Dicion rio de pet 2 SIM Original a Confidveis gt Wg FALSO Curtas CN ne N O NAO i PhishTank API A URL estima QE Ri RL L NA evelar U ista de Phishing o um mea N O Original Unshort me API URL SiM SIM Original Adicionar ao Dicion rio de URL 4 Curtas Adicionar URL na Lista Phishing Lista Negra Ev VERDADEIRO AA Figura 3 8 Fluxograma da Sub rotina anti Phishing URL confi veis uma vez constando o resultado da sub rotina ser FALSO indicando que n o se trata de um Phishing No caso de aus ncia da URL na listagem de confi veis o pr ximo passo ser verificar se a URL consta na listagem de Phishing da Extens o Aegis Essa listagem proporciona redu o de lat ncia uma vez que armazena confirma o de Phishing em an lises anteriores da mesma URL Caso a URL conste na lista negra o resultado da sub rotina ser VERDADEIRO Uma vez ausente posteriormente a URL ser avaliada no servi o externo do PhishTank O resultado do servi o do PhishTank uma an lise da URL em seu banco de dados de Phishing catalogados Uma vez constatado que a URL trata se de um Phishing o resultado dessa confirma o ser adicionado listagem de Malwares e o resultado do fluxo retornar VERDADEIRO c
72. RT BR GOLPES ACESSO 10 12 13 CERT BR Golpes GOLPES na Internet URL http cartilha cert br golpes acesso 10 12 13 2012 GOTH G IE security flaws spike interest in alternative browsers Internet Computing IEEE S 1 2004 GREG AARON R R Global Phishing Survey trends and domain name use in 2h2012 S 1 APWG 2012 GRIER C SHUO TANG KING S Secure Web Browsing with the OP Web Browser Security and Privacy 2008 SP 2008 IEEE Symposium on S 1 2008 GROSSMAN H Clickjacking WWW S 1 2008 GUHA A FREDRIKSON M L B S N Verified Security for Browser Extensions Security and Privacy SP 2011 IEEE Symposium on S 1 2011 GUNDY M V CHEN H Noncespaces using randomization to defeat cross site scripting attacks Computers Security S 1 2012 GUO Y W Z L T Program Slicing Stored XSS Bugs in Web Application Theoretical Aspects of Software Engineering TASE 2011 Fifth International Symposium on S 1 2011 113 GUSTAV RYDSTEDT ELIE BURSZTEIN D B JACKSON C Busting frame busting a study of clickjacking vulnerabilities at popular sites IEEE Oakland Web 2 0 Security and Privacy Workshop S 1 2010 CESSO 10 12 13 2009 HACKER INVADE MAC EM 10 SEGUNDOS E GANHA US 5 MIL URL HTTP MA MacWorldBR HACKER invade Mac em 10 segundos e ganha US 5 mil URL http macworldbrasil com br noticias 2009 03 19 hacker invade mac em 10 segundos e ganha us 5 mil acesso 10
73. a o de filtragem para que a ferramenta classifique 69 o site como Nao Vulner vel Uma vez sem falhas o site se mant m protegido por um longo tempo portanto a classifica o por lista branca se faz eficaz Mas por quest es de preven o o Servi o do Aegis ir reavaliar periodicamente mediante primeiro fluxo os sites considerados como N o Vulner veis em determinados per odos estrat gicos como em hor rios mais ociosos importante ressaltar que todos os sites que possuam alguma caracter stica b sica do SQLi como par metros em GET ou POST a Extens o ir sugerir ao usu rio uma an lise de SQLi essa quando acatada ir executar o primeiro fluxo Um pedido recusado pelo usu rio faz com que a ferramenta entenda que se trata de um site confi vel sendo assim adicionado lista de exce es Adicionalmente o filtro de SQLi tamb m realiza uma checagem de vulnerabilidades em aplica es que utilizam o WebSQL A premissa b sica de por meio de express o regular observar sintaxes SQL que estejam utilizando implementa es que previnam SQLi nesses cen rios como por exemplo a presen a de concatena o de par metros utilizando o vars OWA 2013c ao inv s de concatenar par metros diretamente na String Essa preven o se faz importante porque uma vez um site vulner vel a XSS um atacante pode roubar informa es atrav s de WebSQL 3 3 3 Filtro A3 Ataques baseados em A3 Este ataque ainda carece d
74. a apresentam certa estabilidade quanto a quantidade de publica es 2 8 3 Resultado Obtido da QP 3 Nesta etapa foram identificadas e classificadas as publica es mais relevantes para a proposta desta pesquisa durante os anos da evolu o da web resultando em uma sele o de 225 publica es conforme ilustrado na Figura A 3 em combina o com as Tabelas A 5 e A 6 Durante os primeiros seis anos foram identificadas 17 publica es aderentes ao tema desta pesquisa A web 1 0 se caracterizava por um ambiente est tico e n o interativo e focado em funcionalidades apesar de limitadas poucas foram s medidas de preven o seguran a consequ ncia foi um per odo que despertou as principais preocupa es Naik 2008 Um bom exemplo s o as antigas salas de bate papo das quais permitiam que seus usu rios inserissem c digos HTML diretamente em suas mensagens Um servi o desta natureza nos dias atuais estaria comprometido em quest es de segundos Com a mudan a de um ambiente est tico para um colaborativo e o surgimento das redes sociais a web muda radicalmente sua forma de publicar suas informa es No Per odo da web 2 0 foram encontradas 71 publica es As principais abordagens s o sobre a comunica o de componentes que possibilitam as interfaces ricas e o consumo de dados atrav s de terceiros O dinamismo da web trouxe uma s rie de melhorias mas em contrapartida tamb m resultou em diversos problemas que envolvem toda
75. a por Carlo Marcelo Revoredo da Silva P s Gradua o em Ci ncia da Computa o do Centro de Inform tica da Universidade Federal de Pernambuco sob o t tulo Aegis Um Modelo de Prote o Dados Sens veis em Ambientes Client side orientada pelo Prof Vinicius Cardoso Garcia e aprovada pela Banca Examinadora formada pelos professores Prof Ruy Jos Guerra Barretto de Queiroz Centro de Inform tica UFPE Prof Rodrigo Elia Assad Departamento de Estat stica e Inform tica UFRPE Prof Vinicius Cardoso Garcia Centro de Inform tica UFPE Visto e permitida a impress o Recife 28 de fevereiro de 2014 Profa Edna Natividade da Silva Barros Coordenadora da P s Gradua o em Ci ncia da Computa o do Centro de Inform tica da Universidade Federal de Pernambuco A minha m e Arimar Revoredo da Silva Ao meu pai Jose Oliveira da Silva Ao meu irm o Adrianno Marcio Revoredo da Silva A minha namorada Adriana da Silva Freitas Agradecimentos Agrade o e Em primeiro lugar a Deus por sua gra a e pelas b n os derramadas constantemente sobre mim de maneira maravilhosa e A minha fam lia meu pai meu irm o e especialmente minha m e esta por ser a maior incentivadora e por fornecer amor e suporte emocional imprescind vel em todos os momentos de minha vida e A Adriana por ser minha companheira fiel me apoiando com seu carinho e cuidado e por estar ao meu lado mesmo nas h
76. a vez que um mesmo computador possa ser compartilhado por diversas pessoas uma aplica o que utiliza a API WebStorage 19 de forma imprudente como armaze nar dados sens veis como n mero de cart es de cr dito ou estado de sess es atrav s do LocalStorage 19 acaba comprometendo a seguran a dos dados de seus usu rios Diferente de Cookies o LocalStorage n o criptografa os dados portanto n o deve ser utilizado para armazenar informa es sens veis que deveriam constar apenas no escopo de sess o da aplica o ou seja no SessionStorage 19 que garante a exclus o dos dados no momento em que a sess o for encerrada A estrutura o das informa es no LocalStorage s o baseadas em par metros com chave e valor conforme descrito na especifica o Uma vez detectada a utiliza o suspeita a Extens o ir bloquear o recurso utilizado Da mesma forma do WebSQL descrito no filtro A2 os dados do LocalStore tamb m podem ser explorados caso o site em quest o tenha alguma vulnerabilidade de XSS O mesmo vale para armazenamento utilizando o IndexDB OWA 2013c Esses recursos s o acess veis pela Extens o da API storage Extens o Aegis Fim do Processo onCompleted WebRequest y i nma MN Y notifications API Notificar Bloqueio de Recurso ao Usu rio o Site Lista Branca r Bloquear Recurso SIM Possui valor
77. against cross site scripting attacks Proceedings 2012 International Conference on Computer Science and Service System S 1 2012 SUNG Y C C M W C W H C W S S Light weight CSRF protection by labeling user created contents Proceedings 7th International Conference on Software Security and Reliability SERE 2013 S 1 2013 TAJPOUR A et al SQL injection detection and prevention tools assessment Proceedings 2010 3rd IEEE International Conference on Computer Science and Information Technology ICCSIT 2010 S 1 2010 TAKESUE M A Protection Scheme against the Attacks Deployed by Hiding the Violation of the Same Origin Policy Emerging Security Information Systems and Technologies 2008 SECURWARE 08 Second International Conference on S 1 2008 TAKESUE M An HTTP Extension for Secure Transfer of Confidential Data Networking Architecture and Storage 2009 NAS 2009 IEEE International Conference on S 1 2009 TAN H H S Z J Browser Side Countermeasures for Deceptive Phishing Attack Information Assurance and Security 2009 IAS 09 Fifth International Conference on S 1 2009 122 TER LOUW M VENKATAKRISHNAN V Blueprint robust prevention of cross site scripting attacks for existing browsers Security and Privacy 2009 30th IEEE Symposium on S 1 2009 CESSO 10 12 13 2013 TESTING FOR COOKIES ATTRIBUTES OWASP SM 002 URL HTTPS WWW OWASP ORG INDEX PHP TESTING OWASPTestCo
78. ais O desenvolvimento da extens o bem como seu comportamento bastante similar entre os navegadores Chrome e Firefox Em contrapartida o desenvolvimento para o IE apresenta se como algo bastante trabalhoso que requer linguagem compil vel e disp e de pouca documenta o Portanto at o presente momento n o foi poss vel concluir uma vers o funcional para o IE bem como submet la aos testes de avalia o Vale ressaltar que pelo fato de ser uma prote o para o lado cliente esta ferramenta sempre estar sujeita aos fatores intrusivos da a o humana O fato que certas funcionalidades ir o depender diretamente do comportamento do usu rio j que s o suscet veis a interven es equivocadas como considerar um site fraudulento como confi vel ou mesmo desabilitar a ferramenta durante a sua navega o Em contrapartida esta proposta apresentou uma solu o focada em uma ferramenta leve com funcionalidades objetivas e fundamentadas e ao mesmo tempo que interage com t cnicas e servi os de terceiros com bastante respaldo quantos aos problemas A proposta visa proteger o usu rio de falhas oriundas de desenvolvimentos impru dentes em aplica es como tamb m proteg lo de falhas internas do navegador e seus componentes al m de identificar explora es baseadas em engenharia social e alert lo sobre poss veis fraudes A principal caracter stica da ferramenta interceptar comporta mentos suspeitos no conte do ap
79. al sequestrando dados confidenciais ou cliques Esse vetor muito disseminado pelas a es dos Malwares t cnicas de Phishing entre outros golpes dos quais simulam um cen rio real de um determinado site ou servi o com o objetivo de levar o usu rio a crer que o site em quest o quem se diz ser CER 2012b Vetor 3 Fraca Prote o aos Dados Com 325 publica es um vetor intermedi rio em termos de explora o liter ria encontrando se como segundo mais relatado Sua consegu ncia se caracteriza por aus n cia ou falha em t cnicas como a criptografia ou ofusca o de dado sens vel quando n o aplicadas ou aplicadas de forma ineficiente Exemplos comuns s o senhas ou dados de cart o de cr dito muitas vezes estes dados s o trafegados de forma inadequada por apli ca es que adotam uma fraca pol tica de prote o dados sens veis OWASP 2013g Bina 1994 Vetor 4 Componentes ou Complementos Inseguros Uma rea bastante relevante mas at ent o menos explorada na literatura Foram encon trados apenas 72 artigos que representa em torno de 7 de todos os artigos selecionados Este tipo de vetor ocorre quando existe alguma vulnerabilidade no navegador ocasionada por uma falha em seu desenvolvimento CER 2008 Apesar dos desenvolvedores de navegadores estarem sempre corrigindo as falhas e incentivando seus usu rios a atua lizarem suas vers es muito r pida a dissemina o de uma not cia de nova falha em
80. alados no navegador As Extens es que possuam comportamentos suspeitos como ter acesso a cookies e demais dados sens veis estar o sujeitas aos crit rios dos filtros condicionando suas funcionalidades libera o manual do usu rio In cio EE ae 1 Habilitar Extens o management getALL J management setEnable TRUE Informa es da Desinstalar Extens o Extens es Instaladas management uninstall Extens o Notificar Malware ao Usu rio Obter Extens o management get ID SIM Est na lista de Ey t Rm Desabilitar Extens o management setEnable FALSE Adicionar URL na lista Malwares Figura 3 12 Segundo processo de Filtragem de Complementos Maliciosos A5 3 3 6 Filtro A6 Ataques baseados em A6 Este o ataque mais explorado na literatura e n o seria diferente demandar funcionalida des com um maior n mero de quest es e comportamentos inseguros a serem considerados Ao todo s o 3 fluxos distintos descritos na Figura 3 13 3 14 e 3 15 para a filtragem com o intuito de minimizar os ataques relacionados exposi o de dados sens veis que s o falhas n o intencionas ocorridas no processo de desenvolvimento da aplica o O primeiro fluxo apresentado na Figura 3 13 dedicado s quest es de armazenamento de dados sens veis atrav s de recursos do HTMLS que ir capturar o conte do da p gina a 75 ser exibida ao usu rio atrav s do m todo onCompleted do WebRequest Um
81. alisado Vulneraveis Figura 3 6 Primeiro fluxograma da solicita o de filtragem de SQLi A2 O segundo fluxograma com base na Figura 3 7 descreve a filtragem aprimorada no resultado do primeiro Caso o site esteja Em An lise o processo de requisi o do mesmo ser bloqueado e notificar ao usu rio o ocorrido at que a an lise em comunica o ass ncrona seja conclu da Caso contr rio ser verificado se o site consta na lista branca de n o vulner veis SQLi Uma vez ausente na lista a requisi o ser bloqueada e o motivo ser notificado ao usu rio Caso conste na lista o processo ser conclu do normalmente A mec nica do filtro consiste em observar que enquanto o site n o estiver considerado como N o Vulner vel qualquer requisi o atribu da a ele ser bloqueada at que ocorra uma as seguintes hip teses a primeira quando pr prio usu rio define o site como confi vel resolvendo um falso positivo Usu rio Solicita Autorizar Requisi o em Site A Requisi o f Bloquear Requisi o onBeforeRequest Fim do Processo WebRequest SIM Notificar Notificar Status ZZ A dia S Sitt A emad em SIM O site uma O site est com Stat Osite A N o exce o Em An lise Vulner vel Figura 3 7 Segundo fluxograma da solicita o de filtragem de SQLi A2 A segunda seria quando o desenvolvedor da aplica o corrigir a falha e posteriormente o usu rio solicitar uma nova solicit
82. ama da filtragem de Clickjacking A3 Vale uma ressalva a respeito da decis o de sempre checar as URLs e a utiliza o dos servi os do Unshort me e PhishTank Foi observado durante os testes realizados neste 1 bitly com estudo e at o fechamento deste cap tulo que em servi os como goo g e o mcaf ee foram bloqueadas as tentativas de criar uma URL curta em uma URL catalogada no PhishTank Em contrapartida em servi os como Ow ly Tiny cc gt e o Bit do foi poss vel criar uma URL encurtada que redireciona para uma URL maliciosa Outra quest o foi que as URL encurtadas geradas nos servi os mencionados quando inseridas no PhishTank o servi o anti phishing informou que n o h nada a respeito sobre a URL ou seja concretizando em um ByPass no servi o do PhishTank Com base nestes resultados este estudo concluiu que se faz necess ria a integra o entre o servi o do Unshort me para em seguida enviar a URL original a ser avaliada no PhishTank 0Sexta feira 10 de Janeiro de 2014 11 Google URL Shortener http goo gl 12Bit ly your bitmarks https bit ly McAfee Secure Short URL Service http mcaf ee 4Qw ly Shorten URL http ow ly Tiny URL http tiny cc l it do URL Shortener http bit do 72 3 3 4 Filtro A4 Ataques baseados em A4 A extens o ir monitorar toda a navega o do usu rio e imediatamente bloquear qualquer redirecionamento ou encaminhamento inv lido detectado
83. ambientes controlados atuais que se encontram dispon veis de forma gratuita e de c digo aberto e que tenha apoio ou tutela de alguma organiza o de grande relev ncia ao tema No sexto passo baseando se na tica das principais amea as obtidas no primeiro passo este trabalho tem o intuito de adicionar novas funcionalidades para que o respectivo ambiente cubra as amea as relacionadas ao tema que estavam at ent o ausentes na reprodu o do seu cen rio As conclus es bem como varia es e compara es entre os resultados da experi menta o ser o descritas no passo sete trazendo um comparativo entre as ferramentas mitigadas no segundo passo em compara o com o Aegis 1 5 Estrutura da Disserta o Neste Cap tulo de introdu o foi apresentada uma breve fundamenta o levantando problemas que justificam e motivam a execu o de tal pesquisa bem como apresentando os objetivos da mesma O resto deste trabalho est dividido nos seguintes cap tulos e Cap tulo 2 apresenta uma contextualiza o da pesquisa que contribuiu para aderir embasamento no desenvolvimento da ferramenta proposta e Cap tulo 3 apresenta a implementa o e estrutura da ferramenta proposta intitu lada Aegis e Cap tulo 4 apresenta o ambiente de valida o da ferramenta relatando resultados detalhes da execu o resultados e adequa o do mesmo aos vetores abordados nesta pesquisa e Cap tulo 5 apresenta a an lise de resu
84. aos Dados frequentemente tamb m relatam sobre outros vetores e consequentemente outras amea as distintas conFigurando o cen rio de Ataques que atuam em conjunto Nesta se o tamb m ser o apresentados os ataques que envolvem os vetores mapeados descrevendo seu respectivo vetor defini o e impactos Estes resultados seguem a seguinte estrutura e Os itens que relatam as defini es s o baseados principalmente nas sete principais publica es e Os itens que relatam as consequ ncias s o baseados nas noticias vinculadas na m dia considerando a rela o de impacto de neg cio e Os itens que relatam as principais t cnicas de ataque e defesa s o baseados nos principais trabalhos obtidos nesta revis o sistem tica Ataque 1 Cross Site Scripting XSS A1 Vetor Relacionado Vetor 1 Injec o de C digos Defini o Com base nos resultados da revis o desta pesquisa o XSS em alguns casos tamb m leva o acr nimo de CSS encontra se como a segunda amea a mais explorada na literatura registrando 218 publicag es Al m disso segundo a pesquisa da WhiteHat Security 2013a trata se da vulnerabilidade mais predominante em aplica es web onde informa que 53 das aplica es web possuem vulnerabilidade XSS Na mesma linha segundo OWASP 2013g XSS consta como o terceiro ataque mais cr tico nos ambientes de aplica o web e segundo os dados de SANS MITRE 2011 MITRE 2013a XSS o problema com mais ocorr
85. aqui e resgate o seu Figura 2 8 Exemplo de sequestro de Click Na Figura 2 8 ilustrado um cen rio onde uma pagina introduz um elemento DIV que sobrep em um link O DIV sobreposto possui atributos definidos para que o mesmo fique transparente e com posicionamento flutuante fazendo com que o usu rio n o o enxergue e que fique por cima do link do qual ser vis vel e o usu rio quando tentar clica lo na verdade estar clicando no DIV transparente do qual ir disparar um evento que pode redirecionar o usu rio para outra p gina Outra t cnica espec fica que t o prevalente que tamb m tem seu pr prio termo cunhado conhecido como Likejacking que possui o mesmo mecanismo de um Clickjacking porem focado contra o Facebook onde engana um usu rio sobrepondo o bot o Curtir sequestrando seu click fazendo com que p ginas ou imagens sejam curtidas sem seu consentimento TecMundo 2013a Tamb m existe uma varia o do Clickjacking denominada Strokejacking que ao inv s do click este captura o evento das teclas do teclado Devido ao pequeno numero de publica es encontradas na literatura sobre este ataque este estudo considerou Strokejac king e Clickjacking como um mesmo ataque Niemietz 2011 Na Figura 2 9 ilustrada outra utiliza o para sequestrar informa es sigilosas como credencias de acesso com base nas t cnicas j apresentadas No cen rio ilustrado na Figura 2 9 o usu rio informa suas cred
86. ar uma an lise mais quantitativa o que em tese garantiria uma maior precis o quanto aos resultados obtidos nos testes Al m disso n o foi poss vel realizar uma an lise comparativa em rela o ao ataque 7 devido as limita es dispon veis no mbito das ferramentas apresentadas E por fim n o foi poss vel submeter os testes considerando a navega o atrav s do IE A vers o atual da ferramenta proposta voltada para este navegador ainda apresenta se em um est gio sem muitas funcionalidades conforme descrito no Cap tulo 3 na se o 3 4 Outra observa o que vale ser ressaltada que at o presente momento este navegador possui uma car ncia consider vel quanto solu es correlatas dispon veis o que impossibilitaria an lises comparativas 102 4 3 Considera es Finais Foram avaliadas um total de 23 extens es Dentre as ferramentas submetidas a Aegis apresentou resultados excelentes e satisfat rios tanto no Chrome como no Firefox A No Script para Firefox e Websecurify para Chrome tiverem excelentes resultados Contudo com exce o apenas da Aegis e da No Script quanto ao Clickjacking A3 foi observado que nenhuma das ferramentas avaliadas possui cobertura para os ataques relacionados aos aspectos de HTMLS concluindo assim que no estado atual das extens es dispon veis n o h uma prote o eficiente quanto aos aspectos mencionados Outra observa o sobre as Extens es que oferecem um comba
87. as ACCORNERO R RISPOLI D B F Privacy enhanced identity via browser extensions and linking services Network and System Security NSS 2011 5th International Conference on S 1 2011 ADAM BARTH C J MITCHELL J C Robust Defenses for Cross Site Request Forgery 15th ACM Conference on Computer and Communications Security S 1 2008 ADAM BARTH C J MITCHELL J C Securing Browser Frame Communication 17th USENIX Security Symposium S 1 2008 AGGARWAL A R A K P PhishAri automatic realtime phishing detection on twitter eCrime Researchers Summit S 1 2012 AKIYAMA M Y T H T Improved blacklisting inspecting the structural neighborhood of malicious urls IT Professional S 1 2013 AKIYAMA M Y T I M Searching structural neighborhood of malicious URLs to improve blacklisting 11th IEEE IPSJ International Symposium on Applications and the Internet SAINT 2011 S 1 2011 ALAZAB A et al Web application protection against SQL injection attack 7th International Conference on Information Technology and Application ICITA 2011 S 1 2011 ALDWAIRI M A R MALURLS a lightweight malicious website classification based on url features Journal of Emerging Technologies in Web Intelligence S 1 2012 ALEXENKO T J M R S Z W Cross site request forgery attack and defense 7th IEEE Consumer Communications and Networking Conference CCNC 2010 S 1 2010 ALFANTOOKH A An automate
88. aseada em buscar elementos na tela que manipu lem os dados sens veis do usu rio considerando dois aspectos respons veis em prover prote es aos dados do usu rio e que possam ocasionar armazenamento inseguro Aprofundando mais aos detalhes sobre as funcionalidades nesses aspectos no primeiro caso a extens o realizar uma busca pelo bot o deslogar que em algumas aplica es h varia es no termo como logout sair entre outros Esse tipo de comportamento 14 Extens o Aegis Pies wen Fim do Processo Buscar elemento com Conte do da A 2 z Retornar Resposta Resposta f Funcensl de e ES Modificada Encerrar a Sess o x Notifications API Adicionar Notifica o em Dicion rio de Notifica es na window onbeforeunload Palavras chave aplica o DOM L pn Modificar Encontrou M Agendar Notifica o de Elementos do Elemento Encerramento de Sess o Formul rio nad DOM SIM T r Desmarcar lembretes Realcar Elemento Buscar elementos com de Logon DOM Funcionalidade em e Atributo autocomplete Formul rios como off Biblioteca Pr pria Figura 3 15 Terceiro processo de Filtragem de Exposi o de Dados Sens veis A6 ser tratado em um dicion rio de palavras chave com poss veis varia es para o link ou bot o deslogar Uma vez identifica
89. aso contr rio o fluxo apenas retornar o valor FALSO Na figura 3 9 est ilustrada a filtragem de Clickjaking a qual possui como primeira etapa a execu o da sub rotina anti Phishing Posteriormente ser verificado se o site em quest o trata se de uma exce o se quando verdadeiro ignora o restante do processo de filtragem e prosseguir com a requisi o Caso seja falso ser recuperado o conte do da requisi o em busca dos elementos contidos na tela De posse desses elementos verificar se a dist ncia entre um elemento e outro identificando assim as sobreposi es ou manipula es maliciosas em frames Caso alguma dessas caracter sticas seja detectada a Extens o considerar o site como uma Fraude bloqueando sua requisi o e informando ao usu rio sobre o bloqueio Caso contr rio o pr ximo passo ser interceptar o conte do do cabe alho HTTP usando o m todo onBeforeSendHeaders do WebRequest em busca de comportamentos suspeitos em par metros do cabe alho 71 onBeforeRequest WebRequest Possui Autorizar comportamento ne Requisi o uspeito lt Sub rotina anti Phishing Bloquear Requisi o E Analisar Notificar ao Usu rio Par metros Comportamento Suspeito SIM O site uma exce o m Notificar Phishing ao Conte do do Usu rio Cabe alho NAO onHeadersReceived sim WebRequest Analisar Possui ioi ie Conte do da TERIS Requisi o uspeito Figura 3 9 Fluxogr
90. av s de HTML baseado em Hex encoding conforme a Tabela A 2 do qual reflete uma interpreta o do navegador que resulta em um ataque ao usu rio final ilustrado na Figura A 2 Principais T cnicas de Defesa a CORS Alguns padr es como o Cross Origin Resource Sharing CORS W3C 2013a s o alternativas que contornam as restri es da PMO e que ao mesmo tempo adotam pr ticas que n o comprometem a seguran a Por m existem conven es baseadas em JavaScript como JSONP ou o WebSocket do HTMLS estes s o capazes de quebrar a 48 PMO sem necessariamente alavancar pr ticas voltadas para as quest es de seguran a Takesue 2008 Karlof 2007 b Utiliza o de Cabe alhos HTTP Par metros como Origin para prevenir requisi es de dom nios n o validados Jackson and Wang 2007 De Ryck 2010 Considera es Finais E conclu do a QP2 na Figura 2 14 ilustrada a proje o das amea as durante os anos registrados na literatura registrando as publica es desde 1994 at o primeiro semestre de 2013 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 1994 1995 1996 1997 1998 1999 2000 2001 2002 2003 2004 2005 2006 2007 2008 2009 2010 2011 2012 2013 Figura 2 14 Proje o das publica es relacionadas s amea as durante os anos Com base nos dados distribu dos na Figura 2 14 percept vel que ao longo dos anos todos os Ataques e
91. b O c digo em quest o ofuscado na imagem atrav s de este ganografia cifrado em algum m todo de codifica o MIME como o base64 e armazenado no meta dados do arquivo O processo executado de forma silenciosa visto que arquivos JPEG e PNG s o bem flex veis Suc 2013 e Rotinas de Notifica o de Vulnerabilidades Ser proposta uma pol tica de no tificar os propriet rios do site quando uma vulnerabilidade for encontrada Essa funcionalidade ainda n o foi incrementada no est gio atual da proposta devido limita o das regras estabelecidas quanto aos falsos positivos Al m disso necess rio um bom planejamento quanto ao envio das notifica es e Melhorias no desempenho dos Filtros Tamb m se planeja melhorias na exten s o para o Google Chrome considerando o fato que est sendo desenvolvido o declarativeWebRequest Dec 2013 que no momento encontra se em fase beta Essa nova API ser uma vers o melhorada do webrequest onde oferece maiores funcionalidades e t cnicas de execu o em Sandbox e Disponibilizar o Aegis como API para o desenvolvimento seguro Por fim planejado disponibilizar as funcionalidades do Aegis em uma APIJS para auxiliar na seguran a de aplica es web em n vel de implementa o Isso dar maiores possibilidades de preven o uma vez que o propriet rio da aplica o permita uma maior proximidade entre os filtros do Aegis e o servidor da aplica o 107 Refer nci
92. b rotina anti Phishing resultando em bloqueio ou autoriza o de uma requisi o A segunda etapa detectar algum download de Malware detec o que se faz poss vel com uma API do navegador denominada downloads usando o m todo onCreated que disparado no momento que um download for inicializado Al m de oferecer o gerenciamento dos downloads em execu o ela tamb m prov funcionalidades como captura do nome e da URL do arquivo em quest o De posse da URL a extens o ir pausar a transfer ncia do arquivo e analisar a URL no servi o VirusTotal Uma vez o conte do considerado sem perigo a transmiss o do download ter pro cedimento caso contr rio o download cancelado A extens o tamb m possui uma lista negra de Malwares analisados anteriormente seguindo o mesmo mecanismo da 74 lista de Phishing proporcionando os similares benef cios em rela o a lat ncias O segundo fluxograma descrito na Figura 3 12 ilustra o processo de filtragem e remo o das extens es e plug ins j existentes antes do Aegis ter sido instalado O processo realizado atrav s da API do navegador intitulada management Ela proporciona a detec o das informa es de todas as extens es instaladas no navegador pelo m todo getAll como tamb m desabilita ou desinstala uma extens o pelo m todo setEnable e uninstall respectivamente Al m de extens es essa API tamb m consegue controlar aplicativos interativos ou temas inst
93. cando uma verdade 3 Satisfat rio absoluta na sintaxe do SQL A Aplica o ir aguardar o carrega mento da p gina indicando que o acesso mesma foi permitido 3 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui par metros inseguros na utiliza o do WebSQL Ela ir aguardar o carregamento da p gina indicando que o acesso a ela foi permitido Q3 Qu o eficaz 1 Aegis Web Threats A Aplica o Teste acessar uma p gina M1 Roubo de informa 1 Aegis M tricas atingidas a prote o a qual possui um formul rio malicioso com campos sobrepos es em Formul rio das ferramentas tos Ela ir submeter a p gina e aguardar o envio conclu do 2 Clickjacking Reveal 0 N o se aplica diante dos com sucesso indicando que o ataque foi realizado com xito M2 Roubo de cliques ataques A3 2 Aegis Web Threats A Aplica o Teste acessar uma p gina que 3 Clickjacking Test 1 Fraco possui links sobrepostos com elementos que no evento click redirecio M3 An lise de nam para Phishing A aplica o ir aguardar o carregamento da p gina X Frame Options 4 No Script 2 Razo vel Phishing indicando que o sequestro do clique foi realizado com xito 3 Aegis Web Threats A Aplica o Teste acessar uma p gina com frames cruzados e o cabe alho com aus ncia do par metro X Frame Options A permiss o de acesso p gina j garante amea a ao usu rio portanto a Ap
94. captura ainda na transi o de requisi o e resposta redirecionamentos podem ser desencadeados pelo servidor destino a Extens o pode interceptar esse evento atrav s do m todo onBeforeRedirect aprovando a detec o de Redirecionamentos ou Encaminhamentos Inv lidos A4 E concluindo o processo de captura a Extens o poder interceptar a resposta assim que o primeiro byte do corpo do conte do for recebido significando que os cabe alhos de resposta est o dispon veis para an lise pelo m todo onResponseStarted E por fim no m todo onCompleted a Extens o pode analisar uma resposta processada podendo mensurar ataques como XSS Al importante ressaltar que durante o ciclo do processo de captura todos os m todos s o pass veis de erro de execu o sendo poss vel a realiza o de um tratamento desses erros utilizando o m todo onErrorOcurried Manipula o de Dados Sens veis A6 O navegador tamb m permite que a Extens o tenha acesso a algumas APIs que podem modificar dados armazenados possibilitando a es preventivas quanto Exposi o de Dados Sens veis A6 a saber chrome browsingData Manipula dados do diret rio referente ao perfil do usu rio do navegador no sistema operacional chrome cookies Possibilita a manipula o de Cookies chrome history 62 Possibilita a manipula o do hist rico de p ginas acessadas chrome privacy Possibilita a manipula o das configura es pessoai
95. cas de Mesma Origem A9 46 Considera es Finais uus ae koa xx RR ak SOR we 48 2 8 3 Resultado Obtido daQP3 49 Principais Grupos de Pesquisa nas fontes acad micas 50 Trabalhos Relacionados ss ke ee Bak mad Subs a 51 Ferramentas de prote o integradas ao navegador 52 2 9 Considera es Finais cs ce od ee eaa Ro Ros 54 3 Implementa o da Proposta 55 21 Decis es de Projeto o ss seram sd op ee he Regie eS 55 3 1 1 Publico alvo e cen rio de atua o 55 3 1 2 Tipo de ferramenta a ser desenvolvida 56 3 2 Arquitetura do Aegis srs sa ma XC 3 e RO dox HR 57 321 A Extens o AGpis 2 2422 452452 gas PS RES 57 Nivel de Confian a e oa ceos or ROO Se ee oe e o 9 58 5o o EDD 59 SOPIS Luo che cx oR REX x kie egaa PIA xx 59 Manipula o das Requisi es 59 Manipula o de Dados Sens veis A6 61 Manipula o de Complementos A7 62 Manipula o de Dados em Transfer ncia AS 62 Notifica es ao Usu rio ssa sms o om ee heehee 62 Opera es Internas 2 2s nana 62 3 2 2 Arquitetura do Servi o do Aegis LL 63 Biblioteca Pr p a lt lt acessa atenn dan aae to 63 Bibliotecas Open Source aooaa a 63 Servi os Extemos DD 64 3 3 Funcionalidade dos Filtros aaa RR 65 3 3 1 Filtro Al Ataques baseados em Al 66 3 3 2 Filtro AZ Ataques
96. caso con siga recuperar a informa o contida no retorno do WebSocket 5 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui uma troca de mensagens via Web Messaging O controle de seguran a para restringir dom nios possui falhas A Aplica o Teste interpretar o ataque como bem sucedido caso consiga recuperar a men sagem de retorno M1 Prote o de PMO M2 Aplicando XSSI via AJAX M3 Checagem do arquivo crossdomain xml M4 Falhas de PMO atra v s de WebSocket M5 XSS atrav s de Web Messaging 1 Aegis 2 RequestPolicy 3 Websecurify M tricas atingidas O N o se aplica 1 Fraco 2 a 3 Razo vel 4 Satisfat rio 5 Excelente c6 93 4 1 3 Coleta de Dados A coleta de dados foi realizada com base nas quest es e m tricas definidas na se o Descri o As m tricas foram obtidas por meio da execu o de Testes Funcionais que na Engenharia de Software s o respons veis por realizar uma inspe o dos componentes de um determinado sistema com o objetivo de analisar resultados esperados A t cnica valida se o comportamento e funcionalidades do sistema est o de acordo com os objetivos definidos Mateus Felipe Tymburiba Ferreira 2012 Como o objetivo a prote o do lado cliente os comportamentos internos dos sites n o s o vis veis extens o portanto o m todo de avalia o ser baseado em testes funcionais tamb m conhec
97. ce on and 2011 ieee third international conference on social computing socialcom S 1 2011 MALKHI D REITER M R A Secure execution of Java applets using a remote playground Security and Privacy 1998 Proceedings 1998 IEEE Symposium S 1 1998 CESSO 10 12 13 2013 MALWARE HIDDEN INSIDE JPG EXIF HEADERS URL HTTP BLOG SUCURI NET 2013 07 MALWARE HIDDEN INSIDE JPG EX Sucuri MALWARE Hidden Inside JPG EXIF Headers URL http blog sucuri net 2013 07 malware hidden inside jpg exif headers html acesso 10 12 13 2013 MATEUS FELIPE TYMBURIBERREIRA THIAGO DE SOUZA ROCHA G B M E F e E S Anse de vulnerabilidades em Sistemas Computacionais Modernos conceitos exploits e protes In MINICURSOS DO XII SIMP BRASILEIRO EM SEGURANA INFORMA E DE SISTEMAS COMPUTACIONAIS Anais S 1 s n 2012 MATSUDA T K D S M Cross site scripting attacks detection algorithm based on the appearance position of characters Proceedings of the 5th International Conference on Communications Computers and S 1 2012 MAURER M E H L Sophisticated phishers make more spelling mistakes using url similarity against Lecture Notes in Computer Science including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics S 1 2011 MAURER M E H L Sophisticated phishers make more spelling mistakes using url similarity against Lecture Notes in Computer Science including subseries Lecture Note
98. chenham Kitchenham 2004 que baseia se em uma triagem segmentada em Quest es de Pesquisa QP e tem o proposito de determinar um conte do e concep o de uma revis o na literatura de um determinado tema A revis o com o tema deste estudo 20 visa identificar os principais Vetores Ataques defini es e suas consequ ncias al m de mapear trabalhos relevantes ao tema que se encontram presentes at o momento na literatura O estudo pretende responder tr s quest es de pesquisa a saber 1 Quais Vetores Seguran a mais relatados quanto aos dados sens veis trafegados nos navegadores web 2 Qual a relev ncia destes ataques durante os anos e como est o classificados 3 Quais as principais propostas e grupos de pesquisa mais aderente ao tema durante a evolu o da web 2 2 Defini o de Pesquisa e Fonte Prim ria Foi definido o IEEEXplore como a fonte prim ria deste trabalho apesar do seu me canismo de busca n o possuir tantas funcionalidades como em outras fontes liter rias esta possui um consider vel n mero de publica es Tamb m foi observado que se disp e de um grande n mero de indexa es de trabalhos de outras fontes Outras fontes liter rias tamb m foram escolhidas por contemplarem trabalhos relevantes ao tema e indispens veis para a elabora o das conclus es desta revis o a saber Elsevier Scopus ACM Digital Library SpringerLink Science Direct e Engineering Village Al m das f
99. citas como roubo de contas em redes sociais bloqueio no funcionamento do antiv rus instalado no sistema operacional ou monitoramento de informa es e atividades da navega o do usu rio infectado Fir 2013 Principais T cnicas de Defesa 4 a Politicas de restri es aos Plug ins A execu o de um ActiveX baseada na autenticidade do seu c digo isso garante que nem todo ActiveX possa ser instalado no navegador sem previamente ter assinado um certificado atrav s de alguma autoridade de certifica o digital MITRE 2012b como a Certsign isso garante que seu c digo realmente foi criado e mantido por um determinado autor O grande problema que este autor pode estar no anonimato visto que qualquer desenvolvedor pode criar seu ActiveX e solicitar o certificado Uma vez que o ActiveX malicioso autorizado para execu o todos os dados do navegador como tamb m o computador do usu rio podem ser comprometidos MITRE 2012b Algumas publica es na literatura prop em o monitoramento de plug ins instalados no navegador em tempo real como em Ford 2009 Guha 201 1 Malkhi 1998 b Politicas de restri es as Extens es Recentemente os desenvolvedores dos nave gadores mais populares adotaram uma nova politica da qual restringe que o navegador instale apenas extens es mantidas em seus pr prios dom nios no caso do Google Chrome o mesmo n o permite que extens es fora da Chrome Store sejam instaladas em se
100. cumenta o quanto ao desenvolvimento deste tipo de aplicativo 3 2 Arquitetura do Aegis Nesta se o s o descritos os aspectos arquiteturais da proposta apresentando os compo nentes que fomentam as principais funcionalidades 3 2 1 A Extens o Aegis A extens o Aegis internamente possui a arquitetura de uma Extens o padr o de navega dor que se comunica com outros recursos externos Nesta se o ser o apresentados os aspectos particulares e adicionais de suas funcionalidades considerando seu cen rio de atua o conforme a estrutura interna da extens o ilustrada na Figura 3 1 Por quest es di d ticas as nomenclaturas e descri es quanto aos componentes e APIs internas utilizadas pelas extens es ter o como base a documenta o das Extens es para Google Chrome mas cabe a ressalva que os conceitos seguem um padr o onipresente nos navegadores mais populares Todo navegador web possui um recurso chamado Interpretador que recebe o conte do da web e o interpreta em formato de leitura padr o Em seguida antes de ser renderizado ao usu rio o Aegis ir intervir neste conte do composto por HTML CSS e JS que pode ter sido manipulado ou criado por um atacante podendo o mesmo ser abortado no caso de fraudes ou vulnerabilidades de um determinado componente Outra medida de preven o o bloqueio de recursos do navegador que tem por base uma pol tica de confian a quanto ao conte do em sites com comportamentos su
101. d universal server level solution for SQL injection security flaw Proceedings 2004 International Conference on Electrical Electronic and Computer Engineering ICEEC 04 S 1 2004 ALI A et al SQL injection vulnerability scanning tool for automatic creation of SQL injection attacks Procedia Computer Science S 1 2011 ALI S K S R A A cryptography based approach to web mashup security Proceedings International Conference on Computer Networks and Information Technology S 1 2011 ALVAREZ G PETROVIC S A new taxonomy of Web attacks suitable for efficient encoding Computers Security S 1 2003 ANDERSON B QUIST D L T Detecting Code Injection Attacks in Internet Explorer Computer Software and Applications Conference Workshops COMPSACW 2011 IEEE 35th Annual S 1 2011 ANDERSON R LEE J H Jikzi a new framework for security policy trusted publishing and electronic commerce Computer Communications S 1 2000 108 ANUPAM V MAYER A Secure Web scripting Internet Computing IEEE S 1 1998 ARMANDO A et al An authentication flaw in browser based Single Sign On protocols impact and remediations Computers Security S 1 2013 ARULSUJU D Hunting malicious attacks in social networks Advanced Computing ICoAC 2011 Third International Conference on S 1 2011 ASLAM B LEI WU ZOU C PwdIP Hash a lightweight solution to phishing and pharming attacks Network Comp
102. de seguran a que atrav s de separa o ou isolamento dos dados no qual ir interceptar as requisi es e aplicar um conjunto de outras t cnicas Kirda 2006 Johns 2006 Prote o de Par metros ou Atributos S o medidas que visam ocultar informa es sens veis no cabe alho ou formul rios a fim de impedir a intercep o por um atacante o que caracteriza no ataque Man in The Middle Outra medida a analise dos valores passados em elementos como HTML nos quais os atacantes manipulam a fim de escapar XSS Shar and Tan 2013 Sun et al 2009 Preven o Evas o de Filtros S o t cnicas que analisam a utiliza o de codifica es para escapar entradas com comandos JS Venkatakrishnan et al 2010 Johns and Beyerlein 2007 Dynamic Data Tainting Tamb m conhecida como Data Flow Analysis uma analise diferente das abordagens focadas em falhas no lado do navegador Atrav s dela 33 poss vel monitorar um c digo JS diretamente no mecanismo de renderiza o do JS analisando sua sem ntica em tempo de execu o possibilitando assim interromper ou continuar um processamento Nentwich et al 2007 E uma t cnica bastante utilizada em conjunto com An lise est tica e padr o de comportamento Ataque 2 Inje o SQL SQLi A2 Vetor Relacionado Vetor 1 Inje o de C digos Defini o Seguindo a revis o sistem tica desta pesquisa esta amea a foi identificada como a terceira mais explorada na li
103. de cuidados a serem tomados durante a navega o na Internet em especial aos vetores de ataques envolvidos na utiliza o dos navegadores web CER 2008 Com tantos valores agregados proporcionados pela comodidade da Internet opera es como compras online Internet Banking e compartilhamento de informa es pessoais tornaram se populares sendo executadas durante o dia a dia de milhares de pessoas Consequentemente o dado trafegado come a a conter informa es sens veis representando assim maior valor de neg cio a partir disso as preocupa es quanto a uma prote o eficaz destes dados come a a receber crescimento O advento da web tr s oportunidades tamb m para pessoas mal intencionadas que executam crimes cibern ticos dos quais visam roubar ou adulterar informa es sigilosas comprometendo a seguran a da informa o SI dos usu rios da web ou seja violando 14 a Conformidade Integridade e Disponibilidade CID de seus dados Estes ataques apresentam se em diversas formas capturando entradas dos usuarios forjando sites oficiais inje o de scripts maliciosos explora o de vulnerabilidades nos navegadores propaga o de softwares maliciosos entre outros Com o dinamismo da web um s lido controle destes ataques torna se cada vez mais dif cil e como a tend ncia da web manter se em constante evolu o estas amea as tornam se uma preocupa o cont nua TRENDMicro 2011 Os ataques s o executados
104. de refor ar a legitimidade da requisi o Por m algumas aplica es n o se atentam ao atributo HTTPOnly que tem o objetivo de garantir que seu estado n o seja vis vel ao lado cliente Quanto aos par metros se aplica a presen a dos valores em REFERER e Origin no cabe alho HTTP E por fim analisada uma poss vel aus ncia de criptografia nos valores em Tokens visto que expor esses dados pode proporcionar vulnerabilidades comprometendo a integridade das requisi es O segundo fluxo ilustrado na Figura 3 18 refor a a legitimidade avaliada pelo primeiro que faz uma an lise do conte do da resposta Uma vez a URL considerada confi vel o pr ximo passo ser capturar o conte do de resposta e analisar elementos que contenham comportamentos suspeitos como por exemplo elementos lt form gt lt a gt lt img gt entre outros com atributos SRC definidos com URL din micas bem como 80 onBeforeRequest Filtrar com Notificar Bloqueio de Filtro A4 Requisi o ao Usu rio NAO exce o SIM N O SIM Possui A Analisar Exposic o Analisar Par metros comportamento N O ase Tola uspeito s MO ligo GET speito WebRequest POST O Figura 3 17 Primeiro processo de Filtragem de CSRF A8 onCompleted WebRequest Notificar Bloqueio de it Notificar Bloqueio de xt Recurso ao Usu rio n o Resposta Analisar Conte do da SIM Resposta Filtrar com Filtro A4 SIM Possui comportame
105. derar a opera o realizada de forma insegura M1 Utiliza o de Cookies Persistentes M2 Armazenamento baseado Base64 indevido codifica o M3 Armazenamento indevido atrav s do LocalStorage M4 Autentica o Basic sem HTTPS M5 Armazenamento indevido atra v s do IndexDB M6 Fechamento do nave gador com sess o aberta M7 Campos com autocompletar habilitados e lembretes de Logon 1 Aegis 2 Netcraft Extension 3 No Script 4 RequestPolicy 5 ScriptSafe 6 TamperMonkey Cookies 7 Toogle 8 Websecurify M tricas atingidas O N o se aplica 1 a 2 Fraco 3 a 4 Razo vel 5 a 6 Satisfat rio 7 Excelente 06 Q7 Qu o eficaz 1 Aegis Web Threats A Aplica o Teste ir aces M1 Plug in instalado 1 Aegis M tricas atingidas a prote o sar uma p gina a qual possui um link para instalar um com vulnerabili das ferramentas plug in com vulnerabilidade conhecida O resultado fi dade conhecida O N o se aplica diante dos nal ser conseguir instalar o referido plug in no navegador ataques A7 2 Aegis Web Threats Primeiramente ser instalada no navegador M2 Extens o insta 1 Razo vel uma Extens o com uma vers o com vulnerabilidade Posteriormente a lada com vulnerabilidade Aplica o Teste acessar uma p gina em branco O resultado final ser conhecida 2 Satisfat rio observar se a extens o
106. dispon veis o pr ximo passo foi realizar uma triagem mais AppSec Application Security Labs https appsec labs com Google Gruyere http google gruyere appspot com Peruggia http peruggia sourceforge net Bodgelt https code google com p bodgeit 85 criteriosa com o objetivo de selecionar as aplica es mais aderentes ao tema selecionando assim as que ser o utilizadas na avalia o Essa sele o foi baseada em dois crit rios a saber 1 a aplica o com maior n mero de ataques relacionados e ii a aplica o com atualiza es mais recentes considerando o semestre e ano Como crit rio de desempate foi considerada a ferramenta com maior per odo de atividade e documenta o dispon vel Seguindo os crit rios anteriormente mencionados a aplica o selecionada foi a OWASP WebGoatOWA 2013a porque al m de se tratar de uma aplica o com mais de 10 anos de atividade tamb m rica em documenta o De posse dessas aplica es o ambiente controlado contempla assim as vulnerabilidades necess rias para reproduzir todos os ataques relacionados neste estudo 4 1 2 Defini o As abordagens de Soligen amp Berghout Van Solingen and Berghout 1999 exp em que na fase da defini o que devem ser descritos os objetivos quest es e m tricas seguindo a estrutura conforme ilustrada na Figura 4 2 e desenvolvido na Tabela 4 1 Os ambientes controlados ir o disponibilizar p ginas vulner veis na
107. do WebRequest Um processo de captura corresponde a um conjunto de m todos que controlam todos os est gios de uma requisi o Para facilitar o entendimento este estudo se aprofundou no mecanismo descrito na Figura 3 3 para apresentar o conjunto de m todos de forma mais granular Partindo do princ pio no ato em que o usu rio realiza uma requisi o o 61 processo de captura iniciado possibilitando que a Extens o intercepte uma requisi o atrav s do m todo onBeforeRequest Nesse est gio a requisi o chegou Extens o antes mesmo de atingir o servidor de destino nesta fase que a Extens o possui acesso ao conte do do corpo da p gina possibili tando uma an lise de ataque que se baseia em requisi es como SQLi A2 e CSRF A8 Adicionalmente a Extens o tem permiss o de modificar o cabe alho HTTP removendo ou adicionando par metros usando o m todo onBeforeSendHeaders e posteriormente de encaminh lo modificado pelo m todo onSendHeaders permitindo assim mensurar comportamentos que resultam em ataques como Falhas na PMO A9 e Clickjacking A3 e aplicar as devidas a es preventivas Durante a transi o entre requisi o e res posta os m todos onHeadersReceived e onAuthRequired podem ser disparados quando uma requisi o requer autentica o possibilitando Extens o prever e intervir nestes procedimentos gerenciando os par metros do cabe alho HTTP Dando continuidade ao processo de
108. do o elemento a Extens o ir real ar o bot o ou link em quest o e se programar para notificar ao usu rio sugerindo ao mesmo que acione o elemento sempre que o navegador for fechado abruptamente Caso esse elemento n o seja encontrado a Extens o tamb m ir agendar uma notifica o ao usu rio para que ele certifique se que efetuou o devido logon A Notifica o ser disparada quando o navegador ou a aba for fechada no m todo window onbeforeunload via JS que ser adicionada atrav s de DOM pela Extens o e tamb m ser exibida atrav s da API notifications que utiliza o sistema operacional para efetuar notifica es do systray No segundo aspecto realizada uma an lise de elementos muitas vezes representados como um checkbox que realiza a cria o de um cookie na m quina para lembrar a autentica o em acessos futuros O mais agravante que muitas aplica es insistem em trazer para o usu rio essa op o j selecionada por padr o e geralmente a mesma situa se ap s o bot o de confirmar a opera o fazendo que em alguns casos este elemento passe despercebido ao usu rio Nesse mesmo contexto outro vetor o salvamento autom tico no navegador de informa es sens veis inseridas em formul rios A preven o est em identificar campos como login email n mero do cart o de cr dito e principalmente o elemento do tipo password Identificado esses elementos ser analisado se esses possuem o atributo autocomple
109. do se nas permiss es definidas em par metros do cabe alho HTTP Maes et al Maes et al 2009 prop em uma pol tica de prote o baseada em uma an lise da troca de Tokens entre servidor e cliente Prote o contra A9 Bhargavan et al Maffeis 2013 apresentam uma proposta de defesa das falhas quanto s defini es de permiss es de dom nios cruzados por meio dos par metros de cabe alho HTTP sobre um mecanismo que estende o JS Wang et al Wang et al 2007 prop em um proxy para permiss es de requisi es remotas cruzadas sobre o contexto da aplica o Ferramentas de prote o integradas ao navegador Nesta se o s o apresentadas as principais ferramentas selecionadas no estudo que possuem seus objetivos correlatos e atuam diretamente nos navegadores mais populares Conforme listado na Tabela 2 5 s o apresentadas aquelas selecionadas que atendem os crit rios previstos Estes s o baseados em considerar as ferramentas mais atuantes durante os ltimos 12 meses e que sejam disponibilizadas gratuitamente O resultado da triagem resultou em 23 ferramentas Foi constatado que o Firefox o navegador com um maior n mero dispon vel de op es totalizando em 13 Em seguida o Chrome com 10 ferramentas selecionadas E por fim nenhuma foi contabilizada para o navegador IE mostrando uma grande car ncia em rela o disponibilidade desse tipo de ferramenta 39 Tab
110. e apesar das diferen as no desenvolvimento entre os tr s navegadores mais populares 6CVE Details RSS http www CVE Details com vulnerability feeds form php PhishTank http www phishtank com 8OpenDNS http www opendns com SafeBrowsing https developers google com safe browsing 66 os padr es estruturais e seus componentes s o bastante similares fazendo com que a representa o em fluxogramas proporcione o entendimento necess rio indiferente do navegador a ser desenvolvido Outro fator que vale ser ressaltado que toda a heur stica e as funcionalidades dos filtros foram fundamentadas com base nas t cnicas de defesa e ataque que foram obtidas nos resultados apresentados no Cap tulo 2 3 3 1 Filtro Al Ataques baseados em Al A filtragem de XSS possui regras pr estabelecidas baseadas em an lise est tica no conte do da requisi o uma vez interceptado pelo WebRequest no m todo onCompleted conforme ilustrado na Figura 3 5 Numa vis o geral o filtro do Aegis visa robustez quanto preven o de t cnicas de evas o com base nas t cnicas de defesa descritas no Cap tulo 2 mais precisamente na se o 2 8 2 Este estudo visa contribuir com uma evolu o e atualiza o cont nua quanto detec o dos padr es de ataques em conjunto s preven es utilizadas na biblioteca do OWASP ESAPI que s o em c digo livre e pass veis de adapta es Conforme ilustrado na Figura 3 5 o filtro possui
111. e Plug ins Um tipo de plug in muito explorado neste contexto s o os baseados em ActiveX dentre tantas possibilidades um ActiveX mal intencionado pode propagar Malwares ou exclus o e roubo de arquivos Estas t cnicas s o as mais comuns de serem aplicadas neste cen rio CER 2012a Kumar 2013 TRENDMicro 2013 Security 2013b Cluley 2013 Malwarebytes 2013 Symatec 2013 b Atrav s de Extens es Al m dos plug ins as extens es tamb m se enquadram em possibilidades de ataque nestes cen rios No decorrer dos tempos a confian a entre o desenvolvedor da extens o e o usu rio encontra se em cheque Normalmente as extens es tem um n vel privilegiado de acesso aos recursos do navegador como os formul rios campos do cabe alho HTTP Cookies e at mesmo em alguns casos recursos do sistema operacional Com a ascens o destes aplicativos as explora es de vulnerabilidades neste n vel atuam descontroladamente tornando se comum encontrar casos como roubo de 40 informa es e quebra de privacidade Guha 2011 Ross et al 2005 Consequ ncias Estes usu rios s o v timas de Trojans Malwares Adwares Spywares malicioso Adversiting Scareware e Malversiting estes se apresentam como Plug ins ou Exten s es do navegador As consequ ncias al m a viola o dos dados sigilosos tamb m a privacidade do usu rio j que estas ferramentas intrusas monitoraram todo o tr fego do usu rio principalmente em ambientes como i
112. e boas solu es na literatura principalmente no n vel de prote o Client side um fator que comprova isso a pequena quantidade de publica es encontradas conforme os resultados do cap tulo 2 Todo o desenvolvimento da preven o deste Ataque nesta proposta origin rio da biblioteca pr pria do Aegis A heur stica do combate al m de se ater s preven es em frames e par metros do cabe alho HTTP conforme especificado no Cap tulo 2 tamb m se baseia na an lise est tica da requisi o do usu rio com o intuito de checar o posicionamento de elementos na tela al m de aspectos como opacidade caracter sticas que classificam um elemento como suspeito Todas as filtragens relacionadas Fraude ser o submetidas a uma checagem da URL a fim de proporcionar a es anti Phishing por ser bastante reusado e visando facilitar seu entendimento esse processo foi separado como um fluxo interno denominado de Sub rotina anti Phishing conforme ilustrado na Figura 3 8 O primeiro passo desta sub rotina com rela o s URL curtas Com a grande demanda e descontrole no surgimento de servi os encurtadores de URL todas as URLs informadas ao navegador ser o submetidas a uma checagem do destino da URL encurtada atrav s do Unshort me Uma vez recuperada a URL original a mesma ser armazenada no dicion rio de URL O pr ximo passo avaliar a URL original junto lista branca de 70 Sub rotina anti Phishing S
113. e seus clientes consigam utilizar seus servi os atrav s de um browser O resultado disso uma s rie de benef cios como redu o de filas interatividade foco no dom nio que podemos traduzir em uma palavra comodidade N o obstante em consequ ncia ao seu advento a web se apresenta como um ambiente cada vez mais hostil onde pessoas mal intencionadas executam crimes cibern ticos dos quais visam roubar ou adulterar informa es sigilosas dos usu rios da web violando os dados do usu rios Essas atividade il citas muitas vezes s o executadas atrav s de ataques que exploram fatores como Engenharia Social Falhas nas Aplica es Web ou Vulnerabilidades no Browser do usu rio Estes vetores de ataques apresentam se em diversas formas capturando entradas dos usu rios forjando sites oficiais inje o de scripts maliciosos propaga o de Malwares entre outros Com o dinamismo da web o processo de controle destes vetores de ataque torna se cada vez mais dif cil e como a tend ncia da web manter se em constante evolu o estas amea as tornam se uma preocupa o cont nua Nesta pesquisa proposta uma ferramenta intitulada Aegis como modelo de pro te o para interagir diretamente no browser do usu rio buscando minimizar os ataques mencionados atrav s de uma solu o puramente cliente side Para isso foram realizados estudos e revis o na literatura sobre o tema buscando uma justificativa bem fundamenta para as deci
114. eis fazendo uso de mecanismos que realizam opera es diretamente em uma inst ncia do navegador A Aplica o Teste foi desenvolvida na tecnologia J2SE e representa um conjunto de testes baseados em Testes Unit rios Testes Unit rios ou tamb m conhecidos como Testes de Unidade um processo que garante que o retorno de um determinado m todo seja esperado pela aplica o Mateus Felipe Tymburib Ferreira 2012 Nessa avalia o 5http docs seleniumhq org 94 como apoio na execu o dos Testes Unit rios Al m do JUnit a Aplica o Teste tamb m utiliza as bibliotecas do Selenium WebDriver um foi utilizado o Framework JUnit mecanismo que realiza os testes definidos de forma autom tica em uma inst ncia do navegador dando suporte a praticamente todos os navegadores dispon veis Estes procedimentos proporcionam a reprodu o dos passos do teste em uma execu o em tempo real diretamente no navegador possibilitando a integra o com a Extens o Aegis previamente instalada al m de auxiliar nas manipula es de cabe alhos e requisi es sem a necessidade de utilizar ferramentas que oferecem proxy intermedi rio como o BurpSuite Na Figura 4 3 exibido um fluxograma da execu o de um Teste Unit rio Cada classe de teste possui uma s rie de m todos baseados nas m tricas definidas na se o de Defini o que aguardam um determinado comportamento na p gina
115. ela 2 5 Ferramentas dispon veis e Ataques relacionados Extens es Al A2 A3 A4 A5 A6 A7 A8 A9 Navegador Atualiza o avast Online Security O O O X X O O 0 O Chromeava 16 11 2013 2013 Anti Phishing O O O X O O O O O Firefox Ant 20 06 2013 2013 Clickjacking Reveal o o X o O O O Oo Oo FirefoxCli 19 11 2013 20132 Clickjacking Test o o X o O O O Oo Oo ChromeCli 05 08 2013 2013b CSRF Finder Oo Oo Oo Oo O O O X Oo FirefoxCSR 06 08 2013 2013 ImmuniWeb Self Fuzzer x X O O O O O O O FirefoxImm 21 08 2013 2013 Netcraft Extension X O O X O X O O O ChromeNet 17 11 2013 e 2013b e 07 10 2013 FirefoxNet 20132 No Script Security Suite X Oo X Oo O X O X 0 FirefoxNo 08 11 2013 2013 Request Policy o o Oo X O X O X X FirefoxReq 30 06 2013 2013 Right ClickXSS X Oo Oo Oo O O O Oo Oo FirefoxRig 19 06 2013 2013 Safe Preview O O O O x O O O O ChromeSaf 14 11 2013 e 2013a e 23 06 2013 FirefoxSaf 2013b Script Safe x O O X O X O O O ChromeScr 02 07 2013 2013 SQL Inject Me Oo X Oo Oo O O O Oo Oo FirefoxSQL 02 10 2013 2013 Tamper Monkey X Oo Oo X O X O Oo Oo ChromeTam 11 11 2013 2013 Toogle Cookies O O O O O X O 0 0 FirefoxToo 30 06 2013 2013 Web of Trust WOT Oo Oo Oo X X O O Oo Oo ChromeWeb 18 11 2013 e 2013b e 18 11 2013 FirefoxWeb 2013c Websecurify X X O O O X O x x ChromeWeb 04 11 2013 2013d 54 XSS chef X 9
116. em oferecer certas variedades de recursos T m um comportamento parecido com um complemento do navegador por m a grande diferen a que uma aplica o dessa natureza tem uma intera o mais limitada com o usu rio quanto a sua atividade e monitoramento uma de suas caracter sticas que justifica essa conclus o o fato do usu rio sempre precisar iniciar o aplicativo quando o navegador for inicializado Isso dificulta um eficiente autogerenciamento durante a navega o do usu rio Oqu 2013 Desenvolver um Complemento para um navegador existente Esta op o foi identificada como a mais adequada para a implementa o da proposta Primeiramente pelo fato que os navegadores mais populares se predisp em a aceitar ferramentas desta natureza oferecendo suporte e manuten o ao desenvolvimento al m de conceder certos privil gios sobre o conte do transitado pelo usu rio e at mesmo con trole de certas funcionalidades do Navegador Conforme j especificado nesta disserta o um Complemento pode se caracterizar como uma Extens o ou um Plug in Dentre as op es a Extens o a mais vi vel para a proposta por ser a mais adequada 57 em nivel de design de projeto leve e funcional Al m disso os navegadores incentivam a constru o de ferramentas desta natureza primeiramente porque disponibilizam um reposit rio de aplica es onde os desenvolvedores podem publicar suas Extens es E por fim oferecem uma vasta do
117. encias de acesso sem desconfiar que na verdade existem campos sobrepondo os campos vis veis estes campos ocultos podem ser submetidos em formul rios ou frames cruzados t cnica conhecida como Double Framing OWASP 2013a Principais T cnicas de Ataque a Sobreposi o de Elementos em Tela Essa sobreposi o poss vel atrav s de 36 c a Q Bem vindo ao Site A Bem vindo ao Site A Digite seu login LOGAR Eres Digite sua senha Opacidade 10096 Opacidade 5096 e deslocamento para direita e topo Figura 2 9 Exemplo de Clickjacking Strokejacking para roubo de dados em formul rio recursos do pr prio HTML como o estado flutuante do objeto e a sua opacidade MITRE 2009 b Manipula o em Frames Modifica es no atributo parente location href reprodu zindo um Double Framing OWASP 2013a Kantor 201 1 Consequ ncias Na pr tica o Clickjacking uma fraude O atacante faz com que o usu rio clique em um determinado recurso na pagina onde imagina que tenha um determinado com portamento quando na verdade seu clique foi em outro recurso desta forma o atacante sequestra este clique para outros fins Algum dos objetivos do furto do clique redi recionar o usu rio vitima de um ambiente legitimo para outro hostil onde possa extrair seus dados sens veis que uma a o muito intr nseca ao redirecionamento inv lido Clickjacking
118. ersos tipos de Malwares e uma rica an lise de URL suspeitas Seu servi o tamb m dispon vel em REST e internacionaliz vel em diversos idiomas incluindo o portugu s Servi o SQLMap API O SQLMap APP um servi o dispon vel tamb m em REST que analisa um site e verifica se o mesmo est vulner vel ou n o SQLi O servi o ainda encontra se em fase experimental mas j possui alguns resultados satisfat rios Servi o CVE Details CVE um acr nimo para Common Vulnerabilities and Explosures apresentado no 3Unshort me http www unshort me VirusTotal https www virustotal com 5SQLMap API https github com sqlmapproject sqlmap 65 site CVE Details uma base de registros de vulnerabilidades de seguran a em diversos recursos computacionais mantida pelo MITRE e possui um grande acervo no que diz respeito a vulnerabilidades em recursos computacionais em geral Nele consta uma consider vel base de informa es quanto aos motores de navegadores bem como diversos componentes e plug ins Servi o PhishTank O PhishTank um servi o desenvolvido por uma comunidade voltada para o anti phishing lan ado em outubro de 2006 uma c lula de desenvolvimento do grupo OpenDNS Os navegadores mais famosos utilizam o servi o denominado SafeBrow sing por m em testes realizados nesta proposta uma den ncia de Phishing recentemente catalogada no PhishTank ainda era poss vel de ser acessada no Chrome e
119. es N O suspeito Y 4 y Conte do da A SIM A OPO ua PR Lista Negra iz JOS par metr Realizar An lise em possuem chaves Analisar Valores LocalStorage com nomes p lc em Par metros e storage get Parametro Dopstspeito d Atributos X Lista Negra TN par metr possuem chave com nomes suspeito s Qua p P Realizar An lise em IndexDB storage get Parametro Analisar Valores em Par metros e Atributos Biblioteca Pr pria OWASP ESAPI Adaptada N O Figura 3 13 Primeiro processo de Filtragem de Exposi o de Dados Sens veis A6 O segundo fluxo apresentado na Figura 3 14 voltado para as quest es de trans miss o de conte dos atrav s de Cookies e cabe alhos HTTP e a utiliza o de HTTPS A filtragem de explora o de dados sens veis baseada na biblioteca OWASP ESAPI que possui checagens e preven es deste tipo de cen rio analisando o tr fego desse 76 tipo de dados O objetivo verificar se um determinado tr fego do cabe alho HTTP considerado inseguro como por exemplo exposi o de cookies persistentesOWA 2013e Outro exemplo checar se um determinado servi o trafega sem utilizar HTTPS ou WSS para WebSocket para dados de um usu rio com par metros cr ticos como authorization A checagem do protocolo de comunica o se faz poss vel na pr pria URL e a captura do cabe alho realizada utilizando o
120. ez Ardieta et al 2013 25 Austin et al 2013 26Stevanovic et al 2013 27Akiyama 2013 280liveira 2013 29Shar 2013 Tabela A 6 Principais contribui es relacionadas ao tema nas fontes acad micas
121. fence features implemented in web application programs IET Software S 1 2012 SHAR L K T H Predicting SQL injection and cross site scripting vulnerabilities through mining input sanitization patterns Information and Software Technology S 1 2013 SHEPHERD S Lessons learned from security weaknesses in the Netscape World Wide Web browser Public Uses of Cryptography IEE Colloquium on S 1 1996 SHI C C et al A new approach for SQL injection detection Advances in Intelligent and Soft Computing S 1 2012 SHUN WEN HSIAO SUN Y F C A M C C A Secure Proxy Based Cross Domain Communication for Web Mashups Web Services ECOWS 2011 Ninth IEEE European Conference on S 1 2011 SIDDIQUI M S VERMA D Cross site request forgery a common web application weakness Communication Software and Networks ICCSN 2011 IEEE 3rd International Conference on S 1 2011 SILIC M KROLO J D G Security vulnerabilities in modern web browser architecture MIPRO 2010 Proceedings of the 33rd International Convention S 1 2010 SKARUZ J SEREDYNSKI F Intrusion detection in web applications evolutionary approach Computer Science and Information Technology 2009 IMCSIT 09 International Multiconference on S 1 2009 SNELL M Secure shopping on the Internet Network Security S 1 1995 121 SONNTAG M AJAX Security in Groupware Software Engineering and Advanced Applications 2006 SEAA 06
122. foi removida Q8 Qu o eficaz 1 WebGoat A Aplica o Teste acessar uma p gina que possui M1 CSRF atra 1 Aegis M tricas atingidas a prote o um formul rio de envio de email no qual poss vel injetar um ele v s de lt img gt das ferramentas mento lt img gt que realiza uma requisi o atrav s do atributo SRC 2 CSRF Finder 0 N o se aplica diante dos com par metros modificados A Aplica o Teste interpretar o M2 ByPass em Token ataques A8 ataque como conclu do caso seja poss vel submeter o formul rio 3 No Script 1 Fraco 2 WebGoat A Aplica o Teste acessar uma p gina a qual pos M3 Forjando re sui um formul rio de envio de e mail no qual controla a requi quisi o atrav s de 4 RequestPolicy 2 Razo vel si o atrav s de um Token O Token em quest o est armaze DOM nado de forma insegura como um campo hidden com seu valor ex 5 Websecurify 3 Satisfat rio posto no c digo fonte da p gina A Aplica o Teste interpretar o ataque como conclu do caso seja poss vel submeter o formul rio 3 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui um m todo que ser disparado em seu carregamento e do qual renderizar atrav s de DOM um elemento lt img gt com um SRC atri bu do com uma requisi o forjada A Aplica o Teste interpretar o ataque como conclu do caso a imagem seja carregada 16
123. formidades aos dados sens veis Outras medidas podem ser associadas politicas de conformidades a serem exercidas nestes ambientes A conformidade se caracteriza como uma condi o de algu m ou grupo de pessoas ou processos estar conforme o pretendido ou previamente estabelecido o pretendido em quest o s o os padr es de especifica es Muitas vezes essas especifica es s o elaboradas por empresas 43 que realizam auditoria externa com o objetivo de analisar se um determinado ambiente est de acordo com os requisitos exigidos Um exemplo a HIPAA sigla para Health Insurance Portability and Accountability Act que um padr o com o intuito de proteger os dados relacionados sa de garantindo privacidade e preven o de fraudes Information 2010 Outro exemplo o Data Loss Prevention DLP que uma t cnica para evitar em tempo h bil incidentes de viola o ou acesso indevido a dados sens veis as consequ ncias podem variar desde a inibi o de acesso ao arquivo ou a autodestrui o do mesmo Shabtai et al 2012 Um grande problema que as conformidades n o satisfazem todos os dom nios primeiramente muitas delas s o regionais ou frutos de leis estatut rias a outra quest o que o custo de manter o controle quanto aos requisitos de certa complexidade e em alguns casos atingem custos muito invi veis a serem aplic veis devido realiza o peri dica de auditorias externas Ataque 7 Utiliza
124. guardar a sua conclus o 2 avast Online Security O N o se aplica diante dos 2 Aegis Web Threats A Aplica o Teste acessar uma p gina que M2 Detec o de ataques A5 est programada para receber a adi o de um elemento lt a gt que direci Phishing em Comple 3 Safe Preview 1 Razo vel ona para um Phishing A injec o deste elemento ser realizada por uma mento Extens o Extens o instalada no navegador A avalia o do resultado baseada 4 Web of Trust 2 Satisfat rio no estado do navegador na qual ser verificado se a Extens o maliciosa WOT esta desabilitada 68 Q6 Qu o eficaz a prote o das ferramentas diante dos ataques A6 1 WebGoat A Aplica o Teste acessar uma p gina na qual possui exposi o dos dados do identificador da sess o Esse identificador n o possui uma data definida de expira o indicando que a mesma estar sempre armazenada no navegador A Aplica o Teste ir obter o identificador deste cookie comprovando o acesso p gina em quest o 2 WebGoat A Aplica o Teste ir acessar uma p gina que cont m um formul rio com dados sens veis sem criptogra A Aplica o Teste ir aguardar a conclus o da requisi o da p gina fia utilizando codifica es fracas como Base64 3 Aegis Web Threats A Aplica o Teste ir acessar uma p gina que armazena dados sens veis atrav s do
125. ha solu es baseadas em Client side e Relate sobre Falhas no Navegador Web e seus Complementos 2 4 Crit rio de Exclus o a Duplicidades de publica o indexa o b Peri dicos que n o forem acess veis online c Publica es da ind stria onde o acesso restrito a pagamento d Publica es que relatem problemas espec ficos dispositivos m veis e Publica es que tragam uma revis o sem alguma proposta como solu o f Publica es voltadas para recomenda es de desenvolvimento seguro g Publica es que estejam direcionadas a ataques que n o acarretam em viola o de 22 dados mas sim disponibilidade como Denial of Service DoS e seus variantes ou ataques de Buffer Overflow h Publica es que n o estejam escritas no idioma ingl s 2 5 Crit rio de Relev ncia a Artigos com a solu o de propostas puramente Client side b Artigos que possuam algum tipo de valida o da sua proposta c Artigo que relacione o maior n mero de Ataques sobre o tema 2 6 Triagem Nesta se o descrita a triagem a qual faz uso dos crit rios apresentados anteriormente com o objetivo de refinar o resultado inicial das publica es selecionadas Inicialmente foi aplicada uma analise superficial baseada na leitura do abstract das publica es na qual eram aplicados os crit rios previstos uma vez contemplados a publica o era considerada Foi constatado que neste tipo de an lise existia
126. icious web pages INC IMS and IDC 2009 NCM 09 Fifth International Joint Conference on S 1 2009 KAI ZHAO KAJI Y Anti Phishing mutual authentication using the visual secret sharing scheme Information Theory and its Applications ISITA 2010 International Symposium on S 1 2010 KANESHIGE T Seguranmeaeputa do Safari URL http macworldbrasil uol com br noticias 999 12 31 seguranca ameaca reputacao do safari acesso 10 12 13 2009 KARLOF C S U T J W D Dynamic pharming attacks and locked Same Origin policies for web browsers Proceedings of the ACM Conference on Computer and Communications Security S 1 2007 KERSCHBAUM F Simple cross site attack prevention Security and Privacy in Communications Networks and the Workshops 2007 SecureComm 2007 Third International Conference on S 1 2008 KHOURY N et al An analysis of black box web application security scanners against stored SQL injection Proceedings 2011 IEEE International Conference on Privacy Security Risk and Trust and IEEE International Conference on Social Computing PASSAT SocialCom 2011 S 1 2011 KIM DOOWON ACHAN C B J F P S Implementation of framework to identify potential Phishing websites Intelligence and Security Informatics ISI 2013 IEEE International Conference on S 1 2013 KIRDA E et al Client side cross site scripting protection Computers Security S 1 2009 116 KIRDA E K C V G J
127. idelidade a Upgrade Star SAUA Senha Confirmar Senha Figura A 1 Exemplo de Phishing em atividade 126 html head script src http code jquery com jquery latest js lt script gt script src https dl dropboxusercontent com u XXX jquery xdomainajax js lt script gt lt script type text javascript ajax url http servicoexterno com br exemplo html type GET success function res var conteudo res responseText text Hresposta html conteudo lt script gt lt head gt lt body gt lt div id resposta lt div gt lt body gt lt html gt Tabela A 1 Exemplo de requisi o em dom nio externo Bem Vindo Consumo realizado aproveite SHX3C amp X73 amp X63 RH X72 amp X69 amp X70 amp X74 amp HX3E amp llx61 amp x6C amp x065 amp dx 72 amp lix 14 amp 1x28 amp lx2 amp itx58 amp 1x53 amp IIx 53 amp TEx DT amp x29 amp x3B SH X3C amp Tx2F amp llx 73 amp 1x63 amp tx 12 amp 1x60 amp T x70 amp fx TA amp TTx3E Tabela A 2 Conte do retornado pelo servi o externo Bem Vindo Consumo realizado aproveite Cams NN XSS Figura A 2 Resposta renderizada pelo navegador para o usu rio 127 Aplica es gt gt to o a gt Un gt a gt q gt oc gt ve Acunetix Vulnweb BadStore Cenzic CrackMe Bank
128. idos como caixa preta Mateus Felipe Tymburib Ferreira 2012 A participante dessa avalia o foi uma aplica o denominada Aplica o Teste que executa as m tricas para avaliar o comportamento de uma Extens o instalada no navegador Cada extens o foi avaliada individualmente ou seja quando uma extens o era avaliada as demais ficavam desabilitadas no navegador Os testes foram executados de forma automatizada A automa o em testes a utiliza o de um software para controlar a execu o dos testes da funcionalidade de outro software Mateus Felipe Tymburib Ferreira 2012 Quanto ado o do processo automatizado na realiza o dos testes se faz partindo do princ pio que uma vez no contexto uma Extens o seja permitida a utiliza o de simu la o como trabalho automatizado isso proporciona um experimento mais quantitativo podendo alternar vari veis e comparar comportamentos distintos ou seja possibilita um comparativo entre um consider vel n mero de Extens es submetidas aos testes Outra quest o que a confiabilidade aumenta quando eliminado o car ter subjetivo da avalia o no caso a interven o manual E diante do contexto desse estudo n o h nada que um ser humano possa fazer que a automa o n o seja capaz de reproduzir A ferramenta escolhida para proporcionar automa o aos testes foi a Selenium Server que oferece a realiza o dos testes em praticamente todos os navegadores dispon v
129. imo ou confi vel Com isso o usu rio fornecer informa es pessoais como senhas ou numera es de cart o de credito e estas informa es ser o enviadas para o golpista que criou o ambiente forjado CER 38 2012b b Redirecionando ao Phishing Um atacante pode se utilizar de diversas t cnicas para conseguir realizar um redirecionamento ao usu rio seja por modificar os par metros em uma URL legitima ou at mesmo ocultar uma URL suspeita atrav s de servi os de URL curtas que s o muito comuns em servi os de troca de mensagens sucintas como o Twitter MITRE 2013b No caso de URL legitimas algumas aplica es utilizam par metros que redirecionam o usu rio para uma determinada pagina isso bastante comum quando uma sess o expirada em uma aplica o e visando funcionalidade redireciona o usu rio para a tela de autentica o preservando a URL anterior atrav s de um par metro na URL do redirecionamento da autentica o O objetivo quando o usu rio efetuar seu login o mesmo ser encaminhado para o endere o que consta no par metro Estes par metros podem ser alterados por usu rio mal intencionados que encaminham a URL modificada para usu rios vitimas Se a aplica o n o realizar uma devida valida o poder redirecionar a vitima para uma pagina maliciosa Consequ ncias Apesar de in meras possibilidades o nico objetivo conseguir roubar os dados sens veis do usu rio atrav s das t cnicas
130. ins do Firefox que funciona para todos os navegadores onCompleted Y Notificar Bloqueio ao Informac es dos N O 1 Plug ins instalados M todo Assincrono Existem Desabilitar Plug in atualiza es Ji SIM 5 M todo Assincrono O Plug in possui pendentes Capturar URL das ulnerabilidade atualiza es dos Plug ins Adicionar Plug in na a lista de Plug ins M todo Assincrono Vu Iner veis Efetuar Download da P Atualizac o do Plug in downloads download URL Ap s conclus o dos downloads Figura 3 16 Processo de Utilizac o de Componentes Vulner veis Conhecidos A7 Nesta p gina se faz poss vel capturar os links das atualiza es dispon veis dos plug ins desatualizados Para identificar os casos de dia zero a Extens o far uma comunica o ass ncrona mediante componente XMLHttpRequest para o site do CVE Details em busca de vulnerabilidades divulgadas A consulta no CVE Details baseada no retorno de um 79 arquivo JSON que armazena informa es como o nome do plug in vers o e descri o da vulnerabilidade Conforme visto nos demais servi os externos o resultado do CVE Details tamb m ser armazenado numa lista negra evitando lat ncias A heur stica do filtro trabalha da seguinte forma se a vers o do plug in constar como vulner vel o mesmo ser desabilitado e ser recomenda sua atualiza o Caso n o exista ainda uma corre o situa
131. ioso Titulo Teste de XSS Mensagem Figura 2 5 Exemplo de XSS Persistente Na Figura 2 5 demonstrado um cen rio onde a aplica o n o faz uma devida valida o em suas entradas permitindo que seu usu rio possa inserir c digo JS em um campo texto que quando a aplica o submeter o formul rio a mesma ir persistir essa informa o em sua base de dados Essa informa o persistida ser posteriormente requisitada por outro usu rio da mesma aplica o que ir se tornar uma vitima do ataque XSS Refletido Esse cen rio ocorre quando um usu rio mal intencionado altera os par metros de uma URL com c digos maliciosos e encaminha para um usu rio vitima que este ao tentar abrir o endere o far com que seu navegador interprete os c digos injetados via par metros Acunetix 2010 Muitas vezes essas a es tamb m podem utilizam t cnicas de embaralhamento OWASP 20137 na URL para dificultar a detec o da altera o nos par metros conforme na Figura 2 6 Site A Site A 3 C Q nttp www meuforuma com p abc Q http www meuforuma com p lt img src xxxxx jpg onError alent XSS gt p A busca retornou 15 resultados para abc Alert xss A busca retornou 0 resultados para Ok Figura 2 6 Exemplo de XSS Refletido A Figura 2 6 demonstra uma aplica o que n o realiza uma valida o nos valores atribu dos ao par metro p e
132. isa desta disserta o os objetivos est o focados em minimizar amea as que violem os dados do usu rio de navegador web ou seja a integridade da mesma bem como a confiabilidade do site ou aplica o em quest o que prov um determinado servi o Consequ ncias que envolvam disponibilidade n o est o no escopo deste estudo pelo fato das mesmas n o impactarem diretamente aos dados de um respectivo usu rio mas sim a operabilidade de um determinado servi o 1 4 Metodologia Para atender os objetivos propostos ser adotada uma metodologia que consiste em uma serie de passos a serem executados O primeiro passo ser realizar uma revis o sistem tica na literatura sobre o tema que apresenta rela o com a proposta deste projeto A revis o dever ser aplicada em biblio tecas ou reposit rios de publica es e devem ser executadas atrav s de palavras chaves bem definidas O objetivo ser analisar as principais amea as que est o relacionadas ao problema abordado no tema e consequentemente mapear as solu es apresentadas at hoje e mitigar poss veis lacunas Com todo o conhecimento de pesquisa j realizada sobre este tema revisado o segundo passo ser partir para as especifica es da solu o A ferramenta proposta neste estudo denominada Aegis dever ser acoplada aos navegadores considerados mais populares da atualidade Tamb m dever o ser avaliadas outras ferramentas que possuam prop sitos similares ao do Aegis que
133. lica o Teste aguardar apenas o carregamento da p gina 5 Zscaler king Prevention Likejac 3 Satisfat rio 88 Q4 Qu o eficaz 1 Aegis Web Threats A Aplica o Teste acessar uma p M1 Redirecionamento 1 Aegis M tricas atingidas a prote o gina que possui um elemento lt a gt que direciona para um para Phishing das ferramentas Phishing Ap s o carregamento da p gina a Aplica o Teste 2 avast Online Security O N o se aplica diante dos ir acionar o link e espera direcionar a p gina para a URL M2 Checagem de ataques A4 indicando que o elemento n o foi bloqueado pela extens o URL curtas 3 Anti Phishing 1 Razo vel 2 Aegis Web Threats A Aplica o Teste acessar uma p gina na qual possui um link com uma URL curta que redireciona para um Phishing 4 Netcraft Extension 2 Satisfat rio Ap s 10 segundos do carregamento da p gina o pr ximo passo da Apli ca o Teste ser conseguir clicar no link mencionado encontrando o 5 RequestPolicy link ainda funcional 6 SafePreview 7 ScriptSafe 8 TamperMonkey 9 Web of Trust WOT Q5 Qu o eficaz 1 Aegis Web Threats A Aplica o Teste acessar uma p gina na M1 Download de 1 Aegis M tricas atingidas a prote o qual disponibiliza um link para download o arquivo em quest o trata Malware Plug in das ferramentas se de um Malware e a Aplica o Teste a
134. lore vulnerabilidades existentes na aplica o O objetivo deste estudo trata da elabora o de um mecanismo que auxilie o navegador a oferecer maior seguran a na navega o do usu rio visando minimizar os ataques relacionados aos principais vetores apresentados A ferramenta intitulada Aegis ir monitorar as requisi es e respostas produzidas no navegador a fim de analisar diversos aspectos com o intuito de detectar atividades maliciosas na requisi o ou vulnerabilidade existente na requisi o removendo comportamentos suspeitos ou restringindo recursos do navegador como leitura de m dias exibi o de imagens execu o de scripts ou plug ins tudo em tempo de execu o e conforme a confiabilidade do site em quest o o objetivo impedir que o navegador torne se suscet vel a ataques que comprometam a integridade dos dados trafegados 15 A elabora o deste projeto centrada em uma revis o sistem tica da literatura sobre os ataques relacionados bem como uma fundamenta o extra da de principais trabalhos sobre o tema que envolvem diversos pesquisadores e institui es 1 2 Objetivos Este estudo tem como objetivo propor o desenvolvimento de uma ferramenta capaz de proteger o navegador web das principais amea as que proporcionam viola o aos dados e Apresentar os navegadores mais populares da atualidade a hist ria e evolu o dos mesmos e as tecnologias envolvidas sobre a tica da navega
135. lt b gt Aplicando a t cnica de Escape a String resulta em amp lt amp gtTeste amp lt amp gt Ao ser renderizada ser exibido ao usu rio o seguinte texto lt b gt Teste lt b gt Tabela 2 3 Exemplo da funcionalidade da t cnica de Escape mentos HTML como frames atrav s de Cross Frame Scripting Network 2013a Outros aspectos s o comandos JS que manipulam dados sens veis como o document cookie Sun 2012a De Groef et al 2012 Evas o de Filtro Evas o ocorre quando se utiliza t cnicas para burlar os crit rios dos filtros como a utiliza o de filtros est cada vez mais comum os atacantes come am a elaborar t cnicas que contornam esta medida de preven o OWASP 2013 a Conte do injetado atrav s de codifica o da String Podem ser baseadas em Uni code Charcode Hexa decimal ou base64 OWASP 2013g SANS MITRE 201 DHTMLS5Sec 2013 ou baseadas em URIComponent que uma fun o nativa do JS que codifica caracteres especiais Alvarez and Petrovic 2003 ou mesmo escapes de elementos HTML ou JS SANS MITRE 201 DMITRE 2013a b Conte do injetado atrav s de fun o din mica Fun es como eval Function document write setTimeOut atrav s de DOM ou t cnicas que utilizam express o regular em uma String em combina o da fun o replace do JS Anderson 2011 Bozic 2013 Consequ ncias As consequ ncias de um XSS podem ser um simples Defacement na aplica o que segundo Anderson et
136. ltados obtidos com a execu o deste estudo e desfeche conclusivo da pesquisa apontando poss veis trabalhos futuros 18 Contextualiza o da Proposta Nesta pesquisa apresentada uma taxonomia para as principais amea as vetores e ataques mais atuantes em ambientes Client side dos quais proporcionam a viola o de dados sens veis Primeiramente importante conceituar alguns termos Segundo Allen 2001 a viola o o roubo ou perda acidental de dados sens veis J um dado sens vel qualquer dado que possui seu acesso restrito s pessoas autorizadas E segundo os estudos publicados pelas entidades SANS MITRE SANS MITRE 2011 um vetor de ataque um m todo do qual um usu rio malicioso utiliza para realizar um ataque uma determinada aplica o ou servi o web J um ataque na web qualquer a o realizada por uma aplica o ou pessoa seja de forma proposital maliciosa ou involunt ria atrav s de vulnerabilidades que resulta em algum tipo de Amea a E por fim uma Amea a qualquer evento circunstancia ou pessoa que possa causar danos a uma determinada pessoa ou aplica o a exemplo da viola o de dados sens veis Este cap tulo visa apresentar uma taxonomia que auxilie na did tica e classifica o das principais amea as neste cen rio O primeiro passo foi realizar uma revis o sistem tica na literatura sobre o tema no intuito de apresentar os principais problemas e solu es proporcionando assim
137. m todo onBeforeSendHeaders do WebRequest Al m disso uma vez que o navegador identifica que o certificado HTTPS de um deter minado site foi expirado muitas vezes os usu rios declaram consentimento e desejam prosseguir o processo tornando se vitimas em potencial para ataques Man in The Middle em que um atacante pode interceptar a comunica o ou mesmo se passar por um site ou servi o remoto Extens o Aegis onBeforeRequest WebRequest E er AR URL do Site E SIM Fim do Processo Je notifications uma t API excec o NAO Notificar Bloqueio de w N O Requisi o ao Usu rio Aus ncia de x conex o segura ITTPS WSS onBeforeSendHeaders WebRequest SIM HTTP atrav s da URL T SIM Lista Negra SIM tiliza par metro sens veis em cr ticos a exposi o Biblioteca Pr pria OWASP ESAPI Adaptada y Y Cabe alho im Requisic o Analisar Protocolo Realizar An lise Figura 3 14 Segundo processo de Filtragem de Exposi o de Dados Sens veis A6 E por fim o terceiro fluxo apresentado na Figura 3 15 busca minimizar comportamen tos perigosos principalmente quando s o realizados em um computador compartilhado por diversos usu rios muito comum em locais p blicos como em laborat rios ou as conhecidas Lan Houses A filtragem b
138. m casos onde o processo superficial n o era suficiente como por exemplo quando o abstract era muito resumido ou n o era poss vel extrair dele as informa es necess rias aos cumprimentos dos crit rios Essas publica es eram alocadas separadamente para uma futura avalia o mais detalhada onde seria analisada a introdu o ou demais cap tulos ou se es da publica o O resultado da triagem resultou nas publica es conforme ilustrado na Figura 2 1 Esta triagem Springer Verlag Outros 19 2 ACM Digital 81 9 Library 128 14 Elsevier Scopus E 161 18 Science Direct 197 22 IEEE Xplore 233 Engineering Village 96 10 Figura 2 1 Publica es distribu das por fontes liter rias 23 resultou em 915 publica es e revelou que o IEEEXplore a fonte com maior numero de trabalhos dispon veis sobre o tema com 233 publica es ou seja a triagem descartou 112 artigos que foram considerados na pesquisa inicial O mesmo procedimento foi realizado nas demais fontes e isso trouxe ao resultado final a garantia que as publica es selecionadas apresentam de fato ader ncia ao tema deste estudo Conforme especificado anteriormente a fonte demarcada como Outros representam as obras encontradas nas fontes industriais e nestas est o inclu das as sete publica es que fundamentam os termos e nomenclaturas desta pesquisa 2 7 Classifica o dos Resultados Nesta etapa foi realizada
139. m sua se o de busca por termos ou palavras chaves que s o fornecidos pelo usu rio e processados na pagina seguinte Neste contexto um usu rio mal intencionado pode explorar essa vulnerabilidade inserindo c digo JS ou HTML neste par metro resultando em um resultado desastroso para a aplica o na p gina seguinte 30 XSS Baseado em DOM DOM o acr nimo para Document Object Model que um padr o utilizado para construir elementos HTML atrav s de javascript Quando se diz que um XSS baseado em DOM se caracteriza por modificar das propriedades destes elementos sem a necessidade de realizar requisi es no servidor j que a modifica o pode ser feita diretamente no navegador do usu rio OWASP 2013f Selecione seu idioma lt select gt lt script gt document write OPTION value 1 gt document location href substring document location href indexOf default 8 OPTION gt document write OPTION value 2 gt Ingles lt OPTION gt lt script gt lt select gt http www meusitea com pagina html default Frances Link esperado pela aplica o http www meusitea com pagina html default lt script gt alert XSS lt script gt Link enviado pelo atacante Tabela 2 2 Exemplo de XSS baseado em DOM retirado do OWASP OWASP 2013g No exemplo da Tabela 2 2 o c digo HTML em quest o faz o navegador renderizar uma tela onde fornece ao usu rio um menu suspenso que representa o c
140. mais explorados e mapeados no Cap tulo 2 e implementados conforme especificado na se o de Filtros dos Ataques Algumas funcionalidades dessa API compartilham recursos de API de terceiros conforme na Figura 3 4 SqlMap Unshort me PhishTank VirusTotal CVEDetails API API API API API Navegador Web Extens o do Aegis Aegis API N vel de Confianca Biblioteca Pr pria rl 23e Filtro A1 i Biblioteca Pr pria Bibliotecas Open Source amp amp Filtro A8 JSON JSON a 7 Listas Listas Filtros Dicion rio Servi o do Aegis Brancas Negras de URL Figura 3 4 Arquitetura do Servi o do Aegis Biblioteca Pr pria O servi o do Aegis disp e de uma biblioteca pr pria que oferece solu es de preven o para Ataques que n o est o cobertos por bibliotecas de terceiros como os Ataques relacionados ao A3 A4e AS Bibliotecas Open Source A OWASP Enterprise Security API tamb m conhecida como OWASP ESAPI uma documenta o desenvolvida pela OWASP que traz uma s rie de bibliotecas voltadas para linguagens em ambientes Server side de c digo aberto al m de um conjunto de boas pr ticas no desenvolvimento seguro Apesar de ser Server side alguns de seus 2OWASP ESAPI https code google com p owasp esapi java 64 conceitos e t cnicas foram adaptadas para uma vers o Client side intitulada JavaScript based ESAPIOWA 2013b At o presente momento esta biblioteca encontra se em fase
141. mar V and Selvakumar 2011 apresentam uma solu o intitulada BIXSAN que foca na sanitiza o das entradas e t cnicas de evas o por meio de DOM No mesmo princ pio Heiderich et al Heiderich et al 2012b prop em uma triagem nas manipula es maliciosas nos elementos HTML atrav s do atributo innerHTML E por fim Kirdaet al Kirda 2006 apresentam o Noxes uma solu o que visa mitigar ataques por meio de an lise est tica baseada em uma heur stica que cobre diversos tipos de XSS Prote o contra A2 Shahriar et al Shahriar and Zulkernine 2012 prop em uma prote o de quatro m tricas de entropia condicional na qual avaliam a proposta As m tricas analisam comportamentos da aplica o como mensagens de erro e aus ncia de sanitiza o nas entradas em formul rios Prote o contra A3 Lundeen amp Alves Foss Lundeen 2012 prop em defesas basea das na an lise do contexto visual identificando sobreposi es e opacidades dos elementos considerados como suspeitos Balduzzi et et al Balduzzi 2010 apresentam solu es quanto ao controle e manipula es de frames na p gina al m de comportamentos de elementos flutuantes Prote o contra A4 No trabalho de Yue amp Wang Wang 2008 proposto um m todo de detec o e classifica o de p ginas maliciosas Eshete et al Eshete et al 2012 estendem a ideia para a an lise de Phishing como tamb m o monitoramento e preven o para poss veis t cnicas de Malversiting
142. mation systems Emerging Technologies and Factory Automation 2003 Proceedings ETFA 03 IEEE Conference S 1 2003 CESSO 10 12 13 2013 HTML5 ATTACK URL HTTPS APPSEC LABS COM HTMLS5 HTMLS5 ATTACK FRAMEWORK ACESSO 10 12 13 HTML5Framework HTMLS Attack URL https appsec labs com html5 html5 attack framework acesso 10 12 13 2013 CESSO 10 12 13 2013 HTML5 SECURITY CHEAT SHEET URL HTTPS WWW OWASP ORG INDEX PHP HTMLS SECURITY CHEAT SHEET ACESSO 10 12 13 OWASPHTMLS HTMLS Security Cheat Sheet URL https www owasp org index php html5 security cheat sheet acesso 10 12 13 2013 114 CESSO 10 12 13 2013 HTTP REQUESTS URL HTTPS DEVELOPER MOZILLA ORG EN DOCS OBSERVER_NOTIFICATIONSHTTP _REQUESTS ACESSO 10 HTTPRequests HTTP requests URL https developer mozilla org en docs observer _notificationshttp_requests acesso 10 12 13 2013 HUANG S K L H L L W M L H CRAXweb automatic web application testing and attack generation Proceedings 7th International Conference on Software Security and Reliability SERE 2013 S 1 2013 IACONO L L RAJASEKARAN H Secure Browser Based Access to Web Services Communications 2009 ICC 09 IEEE International Conference on S 1 2009 IHA G DOL H An Implementation of the Binding Mechanism in the Web Browser for Preventing XSS Attacks introducing the bind value headers Availability Reliability and Security 2009 ARES 09 International Conference o
143. muitas vezes o controle de acesso autentica o tratamento das entradas trafego de dados criptografado monitoramento das atividades entre outros aspectos de seguran a que s o negligenciados oferecendo grande risco ao usu rio de navegador web Foi mapeado como o quarto vetor mais explorado com 110 publica es relacionadas 2 8 2 Resultado Obtido da QP 2 Nesta se o foram identificados os Ataques envolvidos em cada vetor da QP1 onde se fez uma classifica o de forma mais granular a fim obter maior visibilidade dos resul tados da pesquisa agrupados entre os cinco Vetores e os nove Ataques correspondentes Alguns Ataques podem ocorrer em um ou mais vetores portanto tamb m s o pass veis a intersec es conforme a distribui o ilustrada na Figura 2 4 Com o resultado do VETORES NECUES Ce Dominio pees MEM MM EM ER 16 gt O 99 Componenteszou Comalenenton sare az 7 5 10 4 72 9 Graca Prote o REA HER des DERIS 19 6 9 23 7 16 14 23 Fraudes mn s ua e a o Infa o cle Gidig Gis Go a 13 gt 9e Bs 9 IM XO NE NA AS AG A AB AO ATAQUES Figura 2 4 Distribui o das publica es por Vetores e Ataques gr fico da Figura 2 4 podem ser observados os Ataques que mais trabalham em conjunto com outros podendo se concluir que algo bastante muito comum de acontecer Al m disso pode se concluir que as pesquisas que relatam sobre o Ataque relacionado ao vetor 28 de Fraca Prote o
144. n S 1 2009 JACKSON C BARTH A Beware of Finer Grained Origins Web 2 0 Security and Privacy S 1 2008 JACKSON C BARTH A ForceHTTPS Cookies a defense against eavesdropping and pharming 17th International World Wide Web Conference S 1 2008 JAGNERE P Vulnerabilities in social networking sites Parallel Distributed and Grid Computing PDGC 2012 2nd IEEE International Conference on S 1 2012 JAKOBSSON M STAMM S Web Camouflage protecting your clients from browser sniffing attacks Security Privacy IEEE S 1 2007 JARKOWSKI M BINCZEWSKI A STROINSKI M New approach for management services with a Web browser Computer Networks S 1 1999 JAYARAMAN K L G T P C S Enforcing request integrity in web applications Lecture Notes in Computer Science including subseries Lecture Notes in Artificial S 1 2010 JAYARAMAN K WENLIANG DU RAJAGOPALAN B C S ESCUDO a fine grained protection model for web browsers Distributed Computing Systems ICDCS 2010 IEEE 30th International Conference on S 1 2010 JENKIN M DYMOND P A plugin based Privacy scheme for World Wide Web file distribution System Sciences 1998 Proceedings of the Thirty First Hawaii International Conference on S 1 1998 JIANG WANG HUANG Y GHOSH A SafeFox a safe lightweight virtual browsing environment System Sciences HICSS 2010 43rd Hawaii International Conference on S 1 2010 JOHNS M
145. n in Browser Validation Mechanism Computational Intelligence and Security CIS 2011 Seventh International Conference on S 1 2011 QIU B N F L W Detect Visual Spoofing in Unicode Based Text Pattern Recognition ICPR 2010 20th International Conference on S 1 2010 QURASHI U S ANWAR Z AJAX based attacks exploiting web 2 0 Emerging Technologies ICET 2012 International Conference on S 1 2012 RAICHAL S et al Detection and avoidance of SQL injection attack in multi tier web based application International Journal of Engineering and Technology S 1 2013 RITCHIE P The security risks of AJAX web 2 0 applications Network Security S 1 2007 ROUAIX F A Web navigator with applets in Caml Computer Networks and Systems S 1 1996 SAIEDIAN H BROYLE D Security Vulnerabilities in the Same Origin Policy implications and alternatives Computer S 1 2011 SCHULTZ E E Internet Explorer security is there any hope Network Security S 1 2005 CESSO 10 12 13 2008 SECURING YOUR WEB BROWSER URL HTTPZ WWW CERT ORG TECH TIPS SECURING BROWSER ACESSO 10 12 13 CERT Browser SECURING Your Web Browser URL http www cert org tech tips securing browser acesso 10 12 13 2008 SECURITY N Web security for browsers Network Security S 1 1998 SECURITY N Browser attacks can wipe out almost anything Network Security S 1 2001 SECURITY W WEBSITE SECURITY STATISTICS REP
146. nce on Computer Science and Information Technology ICCSIT 2010 S 1 2010 NUNAN A E SOUTO E d S E F E Automatic classification of cross site scripting in web pages using document based and URL based features Computers and Communications ISCC 2012 IEEE Symposium on S 1 2012 CESSO 10 12 13 2013 O QUE SPLICATIVOS EXTENSES E TEMAS URL HTTP WWW GOOGLE COM INTL PT BR_ALL LAND OqueSaoAplicativos O que splicativos extenses e temas URL http www google com intl pt br_all landing chrome webstore create whats in store html acesso 10 12 13 2013 OFUONYE E MILLER J Resolving JavaScript Vulnerabilities in the Browser Runtime Software Reliability Engineering 2008 ISSRE 2008 19th International Symposium on S 1 2008 OFUONYE E MILLER J Securing web clients with instrumented code and dynamic runtime monitoring Journal of Systems and Software S 1 2013 OJAMAA A DUUNA K Assessing the security of Node js platform Internet Technology And Secured Transactions 2012 International Conferece For S 1 2012 OLIVEIRA C K O A O S L S Obtaining the threat model for e mail phishing Journal Applied Soft Computing S 1 2013 O REILLY T What is Web 2 0 design patterns and business models for the next generation of software S 1 O Reilly 2005 ORIYANO S P SHIMONSKI R Protecting Web Browsers Client Side Attacks and Defense S 1 2012 ORMAN H Towards a Semantics
147. ncias deste tipo de vulnerabilidade s o de alto impacto capazes de proporcionar comprometimento de todo o sistema operacional como os casos do Mac OS com o Safari IDGNow 2009 em tempo recorde e do Windows com Internet Explorer Tecnologia 2009 Principais T cnicas de Defesa a Atualiza es peri dicas dos desenvolvedores de Navegador Web Um exemplo disso o navegador Google Chrome recentemente ter recebido um patch de atualiza o que corrigiu cerca de 25 vulnerabilidades IDGNow 2013b Apesar dos extensos his t ricos de incidentes e o continuo esfor o por parte dos desenvolvedores atualmente a seguran a oferecida pelos navegadores bastante questionada entre os especialistas Florian 2012 Estad o 2012 b Bloqueio de Recursos defasados Como exemplo uma medida de preven o do Chrome foi informar aos seus usu rios que deixar de permitir plug ins NPAPI a partir de 2014 Segundo os pr prios desenvolvedores do Chrome NPAPI uma tecnologia ultrapassada e de dif cil manuten o quanto s quest es de seguran a GizModo 2013 c Politicas de Restri es aos Plug ins e Extens es S o t cnicas similares s adotas 45 para preven o aos Componentes Maliciosos As quest es relacionadas s restri es nos reposit rios de extens es tamb m est o relacionadas a este contexto TecMundo 2013b Algumas publica es na literatura prop em mecanismos de defesa neste contexto Wata nabe et al 2010 Silic
148. neering 1994 VYSHEGORODTSEV M MIYAMOTO D W Y Reputation Scoring System Using an Economic Trust Model a distributed approach to evaluate trusted third parties on the internet Advanced Information Networking and Applications Workshops WAINA 2013 27th International Conference on S 1 2013 WAGNER N C A P F D An evaluation of the Google Chrome extension security architecture Security 12 Proceedings of the 21st USENIX conference on Security S 1 2012 WAHLBERG THOMAS PAAKKOLA P W C L M R J Kepler raising browser security awareness Software Testing Verification and Validation Workshops ICSTW 2013 IEEE Sixth International Conference on S 1 2013 WANG A C A M T K H J Lightweight server support for browser based CSRF protection WWW 713 Proceedings of the 22nd international conference on World Wide Web S 1 2013 123 WANG C Y H Anti Phishing in Offense and Defense Computer Security Applications Conference 2008 ACSAC 2008 Annual S 1 2008 WANG J XIAO N RAO H R An exploration of risk information search via a search engine queries and clicks in healthcare and information security Decision Support Systems S 1 2012 WANG PINGJIAN WANG L X J L P G N J J MJBlocker a lightweight and run time malicious javascript extensions blocker Software Security and Reliability SERE 2013 IEEE 7th International Conference on S 1 2013 WANG Z L K Z X
149. nejamento quanto medi o dos resultados a serem extra dos nas ferramentas submetidas aos testes Conforme ilustrado na Figura 4 1 essa abordagem divide o processo em quatro fases i Planejamento ii Defini o iii Coleta de Dados e iv Interpreta o e An lise dos Resultados Interpreta o ee Respostas lt m Mensurac o Definic o P l a n o p F o j e t o Dados Coletados Planejamento Colec o de Dados Figura 4 1 Fases da metodologia GQM 84 4 1 1 Planejamento Segundo Soligen amp Berghout Van Solingen and Berghout 1999 o objetivo desta fase definir o plano de projeto no qual se descreve o ambiente participantes e o que ser avaliado O primeiro passo deste estudo foi realizar uma busca por ambientes controlados dispon veis com base nas principais publica es descritas no Cap tulo 2 Um ambiente controlado tem o objetivo de simular um cen rio real a fim de testar uma determinada causa e efeito Para a realiza o dessa avalia o foi utilizado o projeto OWASP Broken Web ApplicationOWA 2013d OBWP que mantido pela OWASP e apresenta se como um conjunto de aplica es que visam auxiliar no estudo de vulnerabilidades em aplica es O estudo tamb m detectou a exist ncia de outras aplica es que n o fazem parte do projeto do OWASP mas se encontram no contexto deste estudo Como triagem inicial os nicos crit rios estabelecidos foram que a
150. nforma es na Internet atualmente s o os softwares dos quais os usu rios utilizam a maior parte do tempo sejam dom sticos ou corporativos Outra consequ ncia dessa evolu o o com portamento e heterogeneidade do conte do trafegado na web Antes as aplica es web eram est ticas traziam quase sempre apenas textos e havia pouca transi o entre p ginas al m disso a intera o do usu rio com a aplica o era quase que nula Atualmente as aplica es proporcionam um ambiente participativo e colaborativo de informa es trafe gadas apresentando seu conte do em diversos tipos e formatos de arquivos multimidia O Reilly 2005 Durante este processo evolutivo foram surgindo possibilidades para prestadores de servi os especializados como bancos ou fontes pagadoras de transa es comerciais os quais atrav s da internet encontraram oportunidades para disponibilizarem seus servi os com alta disponibilidade possibilitando que seus clientes consigam utilizar seus servi os com praticidade sendo necess rio apenas um navegador web Hertzum et al 2004 O resultado disso uma s rie de benef cios como o fortalecimento do e commerce redu o de filas agilidade interatividade foco no dom nio que podemos traduzir em uma palavra comodidade 1 1 Justificativa e Motiva o Apesar das in meras possibilidades de uso institutos como o Centro de Estudos para Resposta e Tratamento de Incidentes CERT alertam da necessidade
151. nforme a avalia o apresentada no Cap tulo 4 5 1 Contribui es As principais contribui es desta disserta o foram e Uma revis o sistem tica da literatura apresentada no Cap tulo 2 que descreveu os ataques mais comuns que resultam na viola o de dados do usu rio de navegador web Essa revis o tamb m relacionou as principais t cnicas de defesa e ataque combinadas s considera es na vis o deste estudo e Abordagem e implementa o de uma ferramenta de prote o client side apresen tada no Cap tulo 3 A proposta foi desenvolvida para interagir diretamente no navegador do usu rio visando minimizar as amea as apresentadas pretendido disponibilizar sua biblioteca principal ao projeto Client side do OWASP ESAPI e E por fim no Cap tulo 4 foi apresentado um ambiente controlado que proporciona uma avalia o mais ampla para as ferramentas que tenham um prop sito similar ao da ferramenta proposta neste estudo pretendido disponibilizar este ambiente para ser incorporado ao projeto OWASP Broken Web Al m disso tr s artigos foram escritos com o objetivo de difundir parte do conheci mento produzido nesta pesquisa os quais foram aceitos para publica o a saber 1 Silva C M R Garcia V C 2013 SafeMash Uma Plataforma como Servi o para a Composi o Segura e Colaborativa de Mashups Em VI Workshop de Teses e 105 Disserta es em Sistemas de Informa o 2013 Jo o Pessoa IX
152. nternet banking CER 2012a Muitos destes adicionais por terem privil gios de escrita e leitura modificam diversas confi gura es do usu rio e afetam o comportamento n o apenas do navegador mas de todo o sistema operacional Al m disso o computador da vitima pode se tornar um Botnet sendo controlado remotamente Muitos desses Malwares atuam como trojan banc rios conforme o estudo em Bes tuzhev 2013 no qual descreve o Brasil como um pais bastante explorado por este tipo de pragas Na Figura 2 11 descrito o fluxo de atua o dos Malwares que quando instalado navegador do usu rio ou em alguns casos instalado diretamente no sistema operacional mas que frequentemente infectado atrav s do navegador Roubo de Dados e x Roubo de Dados propagac o da a em Internet Infec o em Redes RE Banking Sociais ia Atacar Sites Especificos Alterac es no Apresentar Scareware Instalar no Controlar Recursos e TT Malware ao Navegador gt Privil gios do bs do Usu rio Trojan Navegador Antiv rus Modificar o Comportamento do Navegador Adi o de Propagandas Monitoramento Links Frames ou Popups e Envio de com Redirecionamentos dados da para Phishing Navega o Figura 2 11 Fluxo de atividade de um Malware Quando instalado o mesmo inicializa recursos para diversas atividades il
153. nto ispeito Capturar Elementos com URL Figura 3 18 Segundo processo de Filtragem de CSRF A8 iframes e seus elementos filhos considerando tamb m as tentativas de constru o destes elementos por DOM Adicionalmente as URL apontadas aos servi os externos as quais n o s o capturadas pelo WebRequest por serem disparadas enquanto a p gina carregada ser o capturadas e submetidas a uma filtragem usando o filtro A4 81 3 3 9 Filtro A9 Ataques baseados em em A9 A filtragem do A9 ser realizada mediante an lise de requisi es para dom nios externos a fim de evitar explora o em falhas de PMO ou CORS Ser o analisados aspectos como cabe alhos de origem t cnicas de Cookie TossingSecurity 2013a e XSSI observando consumo de servi os de Mashups ou APIs que podem realizar inje o de XSS quando a aplica o consumidora n o realizar uma devida preven o no conte do de resposta Tentativas de quebras da PMO como por exemplo utilizando recursos como JSONP em combina o com outras t cnicas tamb m ser o avaliadas Na Figura 3 19 ilustrado o fluxograma do processo de filtragem por falhas em PMO onBeforeRequest nirol s h wenanenn PA _Fmdoproceso fis L E SIM elis EN onHeadersReceived Notificar Bloqueio de uspeito WebRequest Requisi o ao Usu rio i SIM URL Original Permite qualque dom nio Bloquear Requisi o SIM SIM N o Possui O site uma ossdomain xm
154. o Usu rio Bloquear Resposta Processar Resposta ntificatio Retornar Conte do Modificado Processar Requisi o Notificar Remover URL do Altera o em onCompleted Elemento Elemento com WebRequest URL ERDADEIRO Conte do Coletar Lista de SubRotina zay FALSO Figura 3 10 Fluxograma do Redirecionamentos ou Encaminhamentos Inv lidos A4 73 3 3 5 Filtro A5 Ataques baseados em A5 A filtragem de complementos maliciosos baseada em um mecanismo que previne que o usu rio instale a partir de seu navegador algum plug in ou extens o maliciosa que muitas vezes s o hospedados em sites classificados como n o confi veis Essa filtragem divide se em dois fluxogramas o primeiro descreve a preven o de Malware no momento em que o mesmo est sendo transferido para o usu rio mediante download do arquivo malicioso conforme ilustrado na Figura 3 11 onBeforeRequest E WebRequest API Bloquear Requisi o Fim do Processo Continuar Download Cancelar Download Sub rotina Notificar Phishing ao E et someone FALSO onCreated Downloads API Pausar Download Adicionar URL na Obter URL lista Malwares r URL est na lista de Malwares Figura 3 11 Primeiro processo de Filtragem de Complementos Maliciosos A5 A primeira etapa desta filtragem verificar se o site do plug in ou extens o em quest o classificado como um site mal intencionado atrav s da su
155. o de atua o o pr ximo passo foi analisar o tipo de ferramenta a ser constru da Foram observados tr s poss veis caminhos para o desenvol vimento da proposta Desenvolver um novo navegador voltado para as Quest es de Seguran a Esta op o foi imediatamente descartada Primeiramente pela complexidade seria uma tarefa muito custosa ter que manter regularmente um navegador atualizado sem contar com o esfor o que seria desprendido em outras funcionalidades e preocupa es que fogem do escopo desta pesquisa O outro fator seria da aceita o com tantos navegadores dispon veis na atualidade o mercado bastante competitivo E por fim este caminho cairia em contradi o com um dos requisitos da proposta desta disserta o que seria proporcionar seguran a s op es mais populares de navega o na web Desenvolver um aplicativo independente e instal vel no sistema operacional Esta op o torna se interessante quando se deseja proteger um usu rio independente do aplicativo em uso seja um navegador seja um cliente de e mail Por m ela carece de maior integra o e controle de conte do a ser trafegado entre o usu rio e o Navegador Um exemplo seria possibilitar uma an lise do conte do de resposta de uma requisi o antes que a mesma fosse renderizada no navegador inibindo assim a o de diversos ataques que atuam neste contexto Desenvolver um aplicativo interativo Aplicativos interativos s o aplica es leves que pod
156. o exemplo mais destrutivo quando o atacante compromete a base atrav s de SQLi quando ao concatenar a String com sintaticamente est possibilitando a execu o de outro comando na mesma String de consulta SANS MITRE 201 DMITRE 2013a Para destruir a base da aplica o o atacante pode acrescentar um comando que utilize DROP TABLE conforme na Tabela 2 4 O atacante insere as aspas simples precedidas do comando DROP TABLE do qual ir remover a tabela usu rios e finaliza 34 eck 15 Entre com suas credencias Resultado do SQL SELECT FROM usuarios WHERE Login abc LOGAR Senha or 0 0 Figura 2 7 Exemplo de SQLi Select from usuarios where login adm drop table usuarios and senha 123 Tabela 2 4 Exemplo de SQLi destrutivo com indicando o final do comando e que ap s o todo o restante da sintaxe se tornou coment rio na pr tica o banco de dados far dois comandos o SELECT e logo em seguida o DROP TABLE apagando a tabela usu rios por completa Consequ ncias SQLi possui um alto impacto nos neg cios OWASP 2013g pois sua execu o traz como o comprometimento de toda a base de dados e consequentemente a viola o dos dados dos usu rios de navegador web Al m disso o atacante pode realizar um chamado by pass ou quebra de acesso onde este adquire privil gios indevidos podendo realizar acesso exclus o adultera o ou roubo de informa
157. o origem a um terceiro questionamento Quem de fato o respons vel em prover preven es contra essas fraudes Os propriet rios dos servi os leg timos ou os gestores de navegadores web A prote o client side est longe de ser a solu o mais eficaz por m ainda demonstra se necess ria pois atua como uma solu o adicional que visa minimizar os ataques relacionados s incertezas das respostas para esses questionamentos 104 Este estudo apresentou uma abordagem que visa aplicar t cnicas de defesa que sao executadas diretamente no navegador a fim de oferecer ao usu rio uma solu o preventiva intr nseca ao contexto A proposta foi submetida a uma avalia o na qual foi poss vel observar que a mesma conseguiu inibir um grande n mero de ataques consequentes por aus ncia ou falhas nas preven es de seguran a em recursos dispon veis na web usando um navegador As diversas t cnicas aplicadas nesta proposta a exemplo da an lise est tica s o as verifica es mais recomendadas no n vel client side mas em um mbito geral essas t cnicas n o s o as mais eficientes Mesmo assim a iniciativa dessa proposta torna se v lida Primeiro porque as an lises mais eficazes s o as realizadas no n vel de implementa o e n o se pode garantir que todos os desenvolvedores ir o atribuir s devidas t cnicas em suas aplica es Segundo porque apesar de limitada essa t cnica trouxe resultados satisfat rios co
158. o uma janela indicando que o ataque foi realizado com sucesso injetar o comando lt script gt alert XSS lt script gt no campo do formul rio que ao ser submetido far uma busca por palavras chave na base de dados A Aplica o Teste ir espe rar a janela de alerta na resposta indicando sucesso no ataque 3 Aegis Web Threats A Aplica o Teste acessar uma p gina que possui um m todo JS que insere uma string com valor Ol Mundo na p gina Esta string possui o comando replace com binada a uma express o regular maliciosa conforme o seguinte Ol Mundo replace Ol Mundo g alert Teste ir esperar a janela de alerta quando a p gina for carregada c digo A Aplica o 4 Aegis Web Threats A Aplica o Teste acessar uma p gina que ir carregar um conte do malicioso que ser interpretado apenas no carregamento da p gina por meio de DOM o qual ir reproduzir mediante document write o seguinte c digo lt script gt alert XSS lt script gt A Aplica o Teste ir esperar a janela de alerta quando o carregamento da p gina for conclu do 5 Aegis Web Threats A Aplica o Teste acessar uma p gina que ir carregar um arquivo js atrav s de WebWorker O conte do do arquivo possui o comando document write lt script gt alert XSS lt script gt A Aplica o Teste ir esperar a janela de alerta quando o carregamento da p gina for conclu do M tricas M1
159. of Phish Security and Privacy Workshops SPW 2012 IEEE Symposium on S 1 2012 OWASP OWASP Top Ten Project 2013 S 1 OWASP 2013 OWASP Cross Site Request Forgery CSRF Prevention Cheat Sheet URL https www owasp org index php cross site_request_forgery_ csrf _prevention_cheat_sheet acesso 10 12 13 2013 CESSO 10 12 13 2013 OWASP BROKEN WEB APPLICATIONS PROJECT URL HTTPS WWW OWASP ORG INDEX PHP OWASP_BROKEN_WEB_APPLICATIONJOWASPBroken OWASP Broken Web Applications Project URL https www owasp org index php owasp_broken_web_applications_project acesso 10 12 13 2013 PARK J S SANDHU R Secure cookies on the Web Internet Computing IEEE S 1 2002 119 PELIZZI R S R A server and browser transparent CSRF defense for web 2 0 applications ACM International Conference Proceeding Serie S 1 2011 PINZ et al AIIDA SQL an adaptive intelligent intrusion detector agent for detecting sql injection attacks 2010 10th International Conference on Hybrid Intelligent Systems HIS 2010 S 1 2010 PRINSLOO J ELOFF J Web browsers information security issues Computer Fraud Security S 1 1999 PUANGPRONPITAG S SRIWIBOON N Simple and Lightweight HTTPS Enforcement to Protect against SSL Striping Attack Computational Intelligence Communication Systems and Networks CICSyN 2012 Fourth International Conference on S 1 2012 QINGXIAN Z C W Systematical Vulnerability Detectio
160. ois por meio dele uma requisi o pode ser totalmente manipulada possibilitando acessar cabe alhos HTTP estado de cookies e proporciona a execu o da requisi o em SandBox Al m disso a maioria dos m todos do WebRequest podem ser acionados de forma ass ncrona garantido escalabilidade e performance Por sua diversidade de funcionalidades esse componente ser bastante detalhado nessa se o O WebRequest um componente que utiliza o padr o Observer Segundo Gamma et alGamma et al 1995 o referido padr o permite que um objeto alvo nomeado Listener seja notificado de uma mudan a de estado em um m todo de outro objeto denominado Source Isso possibilita que o Source delegue a execu o de um m todo no Listener No exemplo da implementa o desta proposta o componente WebRequest um Listener que ser notificado e acionado pela Extens o que atua como um Source Portanto a Extens o dever adicionar eventos aos m todos do WebRequest Na Figura 3 3 retirada da documenta o do WebRequest est o ilustradas as funcio nalidades e processos internos que s o respons veis por interceptar uma requisi o v onBeforeRequest v onBeforeSendHeaders v onSendHeaders v onHeadersReceived onErrorOccurred onAuthRequired onBeforeRedirect onResponseStarted onCompleted Figura 3 3 Estrutura dos M todos do WebRequest A Figura 3 3 representa o ciclo de vida de um processo de captura
161. okies TESTING for cookies attributes OWASP SM 002 URL https www owasp org index php testing for cookies attributes owasp sm 002 acesso 10 12 13 2013 CESSO 10 12 13 2013 THE WORLD WIDE WEB IS NOW TRULY URL HTTP MASHABLE COM 2013 10 17 INTERNET USERS 1996 2 UTM_CID MASH Mashable THE World Wide Web is Now Truly URL http mashable com 2013 10 17 internet users 1996 utm_cid mash com g pete photo acesso 10 12 13 2013 THOMAS K G C M J P V S D Design and evaluation of a real time URL spam filtering service Proceedings IEEE Symposium on Security and Privacy S 1 2011 TRAMPUS M CIGLARIC M P M V T Are e commerce users defenceless Intelligence and Lecture Notes in Bioinformatics S 1 2003 TRENDMICRO The Basics of Web Threats S 1 TRENDMicro 2011 URIEN P Internet card a smart card as a true Internet node Computer Communications S 1 2000 CESSO 10 12 13 2013 USING EVAL IN CHROME EXTENSIONS SAFELY URL HTTPZ DEVELOPER CHROME COM APPS SANDBOXINGEVAL HTML ACESSO 10 12 13 ChromeSandbox USING eval in Chrome Extensions Safely URL http developer chrome com apps sandboxingeval html acesso 10 12 13 2013 VAN SOLINGEN R BERGHOUT E The Goal Question Metric Method a practical guide for quality improvement of software development S 1 McGraw Hill Higher Education 1999 MARCINIAK J J Ed Goal Question Metric Paradigm S 1 Encyclopedia of Software Engi
162. onjunto de idiomas dispon vel na aplica o disponibilizando ao usu rio a op o que define o idioma padr o na p gina O menu suspenso em quest o est sendo criado pela aplica o atrav s de DOM no qual espera em seu par metro um conte do texto que represente o idioma desejado pelo usu rio quando na verdade um usu rio mal intencionado pode simplesmente modificar o par metro para que no momento que o elemento DOM seja renderizado ir executar o conte do nocivo passado via par metro pelo mal intencionado OWASP 2013f Principais T cnicas de Ataque Nesta se o ser o descritas as principais t cnicas utilizadas nos ataques de XSS Forma Direta S o ataques que utilizam t cnicas mais comuns ou quando o c digo injetado enviado sem codifica o Geralmente estas a es s o minimizadas com a utiliza o de filtros MITRE 2013c Basicamente apresentam se nas seguintes formas a Explorando falhas em tratamento de Escape S o c digos injetados em uma aplica o que n o faz um devido tratamento de escape nas Strings a serem exibidas ao usu rio Atualmente muitos frameworks de web por padr o ativam esse este tipo de filtragem nas sa das de String Na tabela 2 3 ilustrada a funcionalidade desta t cnica b Utilizando elementos cr ticos ou de conte do sens vel S o t cnicas que exploram vulnerabilidades em componentes como o Cross Site Flashing OWASP 2013h ou ele 31 String html b gt Teste
163. ontes acad micas tamb m foram consideradas algumas fontes direcionadas ind stria pelo fato de possu rem publica es aderentes ao tema e de acesso totalmente gratuito ao seu conte do estas fontes foram representadas como uma nica Fonte liter ria nomeada como Outros Como pesquisa inicial foi realizado no IEEEXplore uma busca por trabalhos relacio nados a seguranga nos navegadores web utilizando palavras chave e termos baseados nas sete publica es apresentadas anteriormente que definiram as nomenclaturas dos ataques acerca deste estudo chegando a seguinte regra de filtragem palavras chave relacio nadas seguran a E palavra chave relacionada navegador web E palavras chave relacionadas as amea as ao navegador web diretamente no meta data das publica es formado pelo titulo abstract e palavras chaves de cada artigo resultando no seguinte comando de busca conforme ilustrado na Tabela 2 1 O comando da Tabela 2 1 listou 345 publica es no IEEEXplore somando os resultados em todas as fontes de pesquisa TEEE Xplore http ieeexplore ieee org Blsevier Scopus http www scopus com home url 3ACM Digital Library http dl acm org 4Springer Link http link springer com Science Direct http www sciencedirect com Engineering Village http www engineeringvillage com Busca realizada em Agosto de 2013 21 threat OR vulnerabilit OR secur OR flaw OR risk OR unsafe OR safe
164. oras mais dif ceis e Ao professor Vinicius Garcia pela paci ncia e dedica o na orienta o desta pes quisa e Aos professores Ruy de Queiroz e Rodrigo Assad por terem aceitado participar de minha banca e A todos os meus amigos e colegas que contribu ram direto e indiretamente para a realiza o deste sonho Muito Obrigado E aqueles que foram vistos dan ando foram julgados insanos por aqueles que n o podiam escutar a m sica NIETZSCHE Friedrich Nietzsche Resumo Os Navegadores Web do ingl s Web Browsers s o ferramentas de extrema import ncia no que diz respeito ao consumo de informa es na internet consequentemente s o os softwares dos quais os usu rios utilizam a maior parte do tempo sejam dom sticos ou corporativos Com o passar dos anos a forma do que estava sendo publicado na web foi evoluindo o que antes era est tico e apenas leitura agora se apresenta como um cen rio onde os internautas e servi os interagem compartilhando informa es em uma grande variedade de cen rios como e mail redes sociais e com rcio eletr nico tornando se ent o em um ambiente din mico e colaborativo Em meio ao advento da web foram surgindo possibilidades para prestadores de servi os especializados como bancos ou fontes pagadoras de transa es comerciais dos quais atrav s da internet encontraram oportunidades para disponibilizarem seus servi os com alta disponibilidade possibilitando qu
165. os nas pr ximas se es de forma sistem tica e em conjunto com an lises e discuss es desenvolvidas com o objetivo de responder as quest es de pesquisas levantas pela metodologia da revis o proposta 2 8 An lise e discuss o dos Resultados Aqui s o respondidas as tr s quest es de pesquisas propostas nesta revis o sistem tica 2 8 1 Resultado Obtido da QP 1 Apesar de cada vetor possuir uma caracter stica espec fica nada impede que o mesmo atue simultaneamente com outros vetores em um mesmo cen rio resultando assim em diversas intersec es entre as publica es e Vetores Conforme os cinco vetores apresentados na Figura 2 2 o resultado da QP1 gerou o gr fico da Figura 2 3 no qual demonstra a distribui o das 915 publica es entre os cinco Vetores com o objetivo de observar quais vetores s o mais explorados importante salientar que o total de 915 artigos divergente do somat rio dos n meros desprendidos no gr fico da Figura 2 3 1063 o motivo o acumulo de ocorr ncias de intersec es j mencionadas gerando 25 sobreposi es publica es atribu das em mais de um Vetor O gr fico da Figura 2 3 Ataques de Dom nio Cruzado 110 10 Cox refe S SGT Complementos Inseguros T2 1 Inje o de Fraudes 186 17 C digos 370 35 Fraca Protecao aos Dados 325 31 Figura 2 3 Distribui o das publica es por Vetores distribuiu as publica es que possuem Ataques
166. os para sites forjados e n o confi veis Este contexto tamb m est associado ao usu rio ser enganado para cair em sites forja dos j que na pr tica tudo uma fraude e os objetivos s o baseados em uma engenharia social da qual redireciona o usu rio para um ambiente hostil que representa visualmente muito fielmente o site do servi o oficial mas que na verdade este ir intercepta os dados sens veis para um golpista fazendo o usu rio pensar que suas informa es est o sendo enviada para o servi o leg timo Esta t cnica de ataque denominada Phishing que segundo CER 2012b Phishing Phishing scam ou Phishing scam o tipo de fraude por meio da qual um golpista tenta obter dados pessoais e financeiros de um usu rio pela utiliza o combinada de meios t cnicos e engenharia social conforme a Figura 2 10 Loja e Farsa gt C JQ http Entre com os dados do seu Cart o Identifica o da Fraude a Original https Mwww sualoja com bor N mero 1234 5678 9012 3456 Varia o http www sualoja1 com br CSC 123 Efetuar Pagamento Figura 2 10 Exemplo de Phishing Na Figura 2 10 ilustrado um exemplo de um site forjado com intuito de roubar os dados do usu rio Principais T cnicas de Ataque a Encaminhando ao Phishing O objetivo introduzir o usu rio em um cen rio forjado para que o mesmo acredite que se trata de algo leg t
167. pe o baseada em um n vel mais superficial observando comportamentos como erro da aplica o ou mensagens ao usu rio quando os par metros s o manipulados Com base nos resultados obtidos a ferramenta Aegis apresentou se com uma heur stica com maior riqueza quanto aos comportamentos descritos A primeira m trica do teste possui um comportamento de f cil detec o mesmo assim uma ferramenta teve seu comportamento de prote o considerado nulo A ferramenta Aegis se sobressaiu devido s quest es de vulnerabilidade no WebSQL as quais n o s o avaliadas pelas demais ferramentas Avalia o de A2 Google Chrome Avalia o de A2 Mozilla FireFox 34 18 A 2 a A 9 Falo 3 o Aegis Websecurify Aegis ImmuniWeb Self SQL Inject Me Ferramentas submetidas Ferramentes subristids Figura 4 6 Resultados da avalia o da Quest o 2 Resultado da Quest o 3 Nos dados extra dos quanto ao ataque de Clickjacking conforme ilustrado na Figura 4 7 a maioria das solu es candidatas apresentaram um comportamento classificado como fraco em rela o a sua funcionalidade de prote o e dentre elas uma apresentou um comportamento nulo Em contrapartida a ferramenta No Script al m de detectar sobre posi o para furto de cliques tamb m obteve controle dos cabe alhos HTTP referente a permiss es de frames Contudo a ferramenta Aegis foi nica que al m desses aspectos tamb m cobriu a
168. pting Prevention Cheat Sheet URL https www owasp org index php xss cross site scripting prevention cheat sheet acesso 10 12 13 2013 XU H CROSSLER R E BELANGER F A Value Sensitive Design Investigation of Privacy Enhancing Tools in Web Browsers Decision Support Systems S 1 2012 XU H H X Z D A XSS defensive scheme based on behavior certification Applied Mechanics and Materials S 1 2013 YANG Y Y Y An efficient webpage information hiding method based on tag attributes Fuzzy Systems and Knowledge Discovery FSKD 2010 Seventh International Conference on S 1 2010 124 YINZHI CAO ZHICHUN LI V R Y C Virtual browser a web level sandbox to secure third party javascript without sacrificing functionality Proceedings of the 17th ACM conference on Computer and communications security S 1 2010 YUAN Y C Y A comparative Study of the Safety between Internet Explorer and Firefox Information Science and Engineering ISISE 2012 International Symposium on S 1 2012 YUE K C L W C L O Hitchbot Delivering Malicious URLs via Social Hitch Hiking Global Telecommunications Conference GLOBECOM 2011 2011 IEEE S 1 2011 YUE WANG AGRAWAL R B Y C Light Weight Anti Phishing with User Whitelisting in a Web Browser Region 5 Conference 2008 IEEE S 1 2008 ZARANDIOON S DANFENG YAO GANAPATHY V OMOS a framework for secure communication in mashup applications
169. r tamper with sensitive information of the web users violating data users These illegal activities are often implemented through attacks that exploit factors such as Social Engineering Web Applications Flaws or Vulnerabilities in the browser user These attack vectors are shown in several ways capturing input from users forging official websites injection malicious scripts malware propagation among others With the dynamism of the web the control process of these attack vectors becomes increasingly difficult and how the trend of the web is to keep evolving these threats become one ongoing concern In this research we propose a tool called Aegis a protection model to interact directly in the user s browser in order to minimize the attacks mentioned purely by a client side solution To this were done studies and literature review on the topic seeking a justification well founded for decisions and techniques applied Additionally the results are presented obtained in the evaluation of Aegis in conjunction with other related tools Keywords Information Security Vulnerabilities in Web Applications Vulnerabilities in Web Browsers Fraud Protection Sumario 1 Introdu o 12 1 1 Justificativa e Motiva o uos eed RR XE EE REE RS 13 ONE 0 0 eee ee 8 Bek ed Bek bo oo ek Be OR ER ee 15 LS Fordo Esopo 220 x9 He ee e oi Re E OS SORTED AO a ae 15 1 4 Metodologia eke eek ae RE SR ERE EE RE ERS 16 15 Estrutura da Disserta o
170. resentado ao usu rio limitando recursos do navegador ou caso seja preciso bloqueando todo o processo de requisi o ou resposta reduzindo assim bastante a margem de sucesso de ataques aos seus dados sens veis Para os casos de sites id neos que apresentam um comportamento suspeito o fator da interven o humana torna se um benef cio j que o usu rio poder definir uma lista de sites confi veis para cada filtro proporcionando uma solu o aos falsos positivos No pr ximo Cap tulo ser descrita a avalia o da ferramenta proposta em comparativo com as ferramentas correlatas apresentando os resultados obtidos em um conjunto de ambientes controlados 83 Avalia o da Proposta Este Cap tulo descreve a avalia o da proposta em comparativo com trabalhos correlatos na busca de analisar o desempenho das ferramentas em um ambiente voltado para testes A abordagem dessa avalia o inicia se pela descri o da metodologia utilizada objetivos e componentes necess rios para reproduzir os cen rios de testes Em seguida s o relatados os resultados obtidos quanto s vulnerabilidades conhecidas considerando os falsos positivos E por fim s o apresentadas as conclus es acerca dos resultados dos testes 4 1 Metodologia A metodologia da avalia o baseia se na abordagem GQM Goal Question Metric proposta por Basili amp Caldiera Victor R Basili and Rombach 1994 com o intuito de proporcionar um formalismo e pla
171. rminado site do qual ser o persistidos os dados que o atacante informou nos par metros da requisi o OWASP 2013g Outro exemplo pode ser feito numa compra ou transa o financeira alterando campos de quantidade ou endere o de entrega ou qualquer outra opera o que envolva o envio de dados atrav s de uma requisi o com par metros modificados A princ pio parece que uma simples solu o seria realizar todas as requisi es como POST OWASP 2013e mas na pr tica n o resolve o problema visto que o atacante tamb m pode forjar este tipo de requisi es Outra quest o que muitas vezes os usu rios por imprud ncia acabam realizando salvamento autom tico de credencias ou permiss es de relembrar autentica es este tipo de a es podem resultar em CSRF atrav s da manipula o de 46 Aplica o Alvo 3 C Q URL MODIFICADA Solicita req vum a URL modificada no Navegador O ataque pode produzir danos o V tima na Aplica o Alvo Modifica valores dos parametros Exemplo 1 ou encaminhar Encaminha informag es para um dom nio URL cada gt Para uma gt V tima externo Exemplo 2 Figura 2 13 Exemplo de CSRF atrav s da Manipula o de Par metros Obt m URL N Atacante Es origi Vitima par metros OWASP 2013d b Atrav s de recursos da Aplica o Existe tamb m uma modalidade do CSRF denominada persistente da
172. rtamento suspeito o n vel de confian a reduzido A confian a corresponde libera o de recursos do navegador que podem ser desabilitados quando o n vel de confian a reduzido Isso garante que a requisi o ser abortada em ltimo caso ocorrendo apenas quando um determinado recurso n o for bloqueado por alguma interfer ncia do navegador ou quando o site continue perigoso mesmo com o n vel de confian a reduzido Essa avalia o se faz poss vel atrav s da API chrome contentSettings que possibilita um gerenciamento das configura es e controle dos recursos de conte do Recursos de Conte do a Requisi es AJAX b Cookies c Imagens e CSS d JavaScript e Plug ins f Pop ups 39 A Extens o Aegis ss 3 S titp tisatemash comiaegis Ao acionar o Aegis nas A es do Navegador E Denunciar Atualizar ae Carregar Nivel de Confianga Baixo v Salvar como M dio Imprimir E ER Alto Exibir c digo fonte da p gina ontrole de Recursos Aegis gt N vel de Confian a gt Requisi es AJAX Habilitar Inspecionar elemento Bloquear Recursos gt Imagens e CSS Habilitar Verificar Vulnerabilidades gt Checar Atualiza es JavaScript Habilitar Plug i Habilitar usce ag PP UNE Ao clicar com o bot o direito do Mouse Pop ups Habilitar
173. rtificial Intelligence and Lecture Notes in Bioinformatics S 1 2004 BOZIC J W F XSS pattern for attack modeling in testing 2013 8th International Workshop on Automation of Software Test AST 2013 Proceeding S 1 2013 CESSO 10 12 13 2013 BUG 680771 SEND X XSS PROTECTION HEADER FOR XSS PREVENTION BLOCKING URL HTTPS BUGZILLA MOZ Bugzilla BUG 680771 Send X XSS Protection header for XSS prevention blocking URL https bugzilla mozilla org show bug cgi id2680771 acesso 10 12 13 2013 CABALLERO S C H C M Residue objects a challenge to web browser security EuroSys 10 Proceedings of the 5th European conference on Computer systems S 1 2010 CESSO 10 12 13 2013 CATEGORY OWASP WEBGOAT PROJECT URL HTTPS WWW OWASP ORG INDEX PHP CATEGORY OWASP WEBGOAT PROJECT ACESSO 10 12 13 JOWASPWebGoat CATEGORY OWASP webgoat project url https www owasp org index php category owasp webgoat project acesso 10 12 13 2013 CESSO 10 12 13 2012 COS MALICIOSOS MALWARE URL HTTP CARTILHA CERT BR MALWARE ACESSO 10 12 13 CERT BR Malwares COS maliciosos Malware URL http cartilha cert br malware acesso 10 12 13 2012 CHANDRASHEKHAR R et al SQL injection attack mechanisms and prevention techniques Lecture Notes in Computer Science including subseries Lecture Notes in Artificial Intelligence and Lecture Notes in Bioinformatics S 1 2012 CHEN F H H C K T Y C Y W J W L H Browser
174. s es e t cnicas aplicadas Adicionalmente s o apresentados os resultados obtidos na avalia o da Aegis em conjunto com demais ferramentas relacionadas Palavras chave Seguran a da Informa o Vulnerabilidades em Aplica es Web Vulnerabilidades em Navegadores Web Prote o Fraudes Abstract Web Browsers are extremely important tools with respect to the use of information on the Internet are therefore the software which users utilize most of the time whether domestic or corporate Over the years the way of what was being published in web has evolved what was once static read only now presents itself as a scenario where Internet users and services interact by sharing information on a wide variety of scenarios such as email social networking and e commerce thus becoming a dynamic and collaborative environment Amid the advent of web possibilities for specialized service providers have emerged as banks or payers of commercial transactions including over the internet found opportu nities to make available their services with high availability enabling its customers to be able to use their services through a browser The result is a series of benefits such as shorter queues speed interactivity focus in the field we can translate a word convenience Nevertheless due to its advent the website is presented as an environment every once hostile where people perform malicious cyber crimes the which aim to steal o
175. s as amea as acerca desta pesquisa Naik 2008 Com a Web 3 0 for o detectados 137 publica es A web agora capaz de criar aplica es com integra es automatizadas entre fontes de dados distintas com as chamadas maquinas social Jim Hendler 2009 que se definem como um conjunto de conectores de entrada e sa da de dados de requisi o e resposta Isso gera um fortalecimento da web sem ntica Naik 2008 Eftekhari et al 2011 em contrapartida desperta preocupa es quanto portabili dade de dados e aplicativos interativos dos quais permitem que usu rios compartilhem informa es em diversas aplica es e dispositivos 50 Principais Grupos de Pesquisa nas fontes acad micas a Bina et al Um grupo de pesquisa da universidade de Illinois composto por engenhei ros de software que desenvolveram o primeiro navegador gr fico o Mosaic Tamb m foi o primeiro registro de uma publica o relatava sobre o ataque de Exposi o de Dados Sens veis registrado em 1994 por Bina 1994 focando client side onde relatava sobre falhas na prote o de dados sens veis durante a navega o do navegador Mosaic b Jackson et al O grupo de pesquisa da universidade de Stanford constitu do por Collin Jackson Adam Barth Helen Wang Zack Weinberg Pavithra Jayaraman entre outros Estes realizaram diversos trabalhos sobre a prote o Client side considerando aspectos como privacidade e seguran a aos dados t cnicas de prote
176. s componentes de APIs do HTMLS como WebWorkers WebSocket WebMessaging WebDatabase e WebStorage portanto estes recursos tamb m ser o bloqueados no navegador do usu rio 67 Extens o Aegis Fim do Processo 1am onCompleted Y WebRequest y URL do Site Notificar Bloqueio de SIM Recurso ao Usu rio A a Es API N O O site uma Lista Branca excec o r Bloquear Recurso MESIM possui valores suspeito N O X Lista Negra Conte do da SIM Resposta Na SIM E Possui Analisar Valores Realizar An lise Est tica do Conte do comportamento O em Parametros e uspeito lt Atributos Lista Ne sal Le Analisar Negra 8 Bt Comportamento N O Biblioteca Pr pria OWASP ESAPI Adaptada Figura 3 5 Fluxograma da funcionalidade do filtro de XSS A1 Caso a an lise est tica n o encontre elementos suspeitos o pr ximo passo ser analisar o conte do em busca de padr es de comportamento conforme descrito anteriormente no Cap tulo 2 como utiliza o suspeita de express es regulares ou mesmo evas es de filtro Por fim o conte do ser submetido para uma nova an lise esta baseada em uma triagem quanto aos valores atribu dos em atributos de elementos declarados na p gina 3 3 2 Filtro A2 Ataques baseados em A2 O processo de filtragem de SQLi dividido em dois
177. s do usu rio no navegador como por exemplo salvamento de senhas em formul rios lembran as de logon etc chrome Storage Possibilita a manipula o de dados do usu rio via especifica o sessionStorage permitindo o armazenamento de dados do usu rio no escopo de sess o chrome system storage Possibilita a detec o de dispositivos remov veis de armazenamento no computador do usu rio Manipula o de Complementos A7 chrome extension Possibilita a comunica o com outras extens es instaladas chrome management Possibilita gerenciar extens es aplica es instaladas no navegador Manipula o de Dados em Transfer ncia A5 chrome downloads Monitorar e manipular downloads de arquivos sendo processados no Chrome Chrome fileBrowser Handler Monitorar e manipular uploads de arquivos sendo processados no Chrome Notifica es ao Usu rio chrome notifications Possibilita a notifica o ao usu rio por meio de templates ou pelo pr prio system tray do sistema operacional Opera es Internas chrome alarms Possibilita o agendamento autom tico de rotinas Um exemplo seria a checagem da Extens o em busca de atualiza es 63 3 2 2 Arquitetura do Servi o do Aegis A extens o Aegis possui um servi o externo desenvolvido como um Web Service em REST que fornece atualiza es peri dicas e disponibiliza em forma de API recursos que inibem as nove amea as provenientes dos cinco vetores de ataques
178. s in Artificial S 1 2012 MEYER H Browser bugs raise security concerns Computers Security S 1 1997 MEYER H Securing your users Web browsers Computers Security S 1 1997 MICHA CHORA R K Evaluation of various techniques for SQL injection attack detection Advances in Intelligent Systems and Computing S 1 2013 CESSO 10 12 13 2009 MICROSOFT LANE8 DESTACANDO MELHORIAS E IDGNow MICROSOFT lanE8 destacando melhorias em seguran performance URL http idgnow com br internet 2009 03 19 microsoft lanca 1e8 destacando melhorias em seguranca e performance acesso 10 12 13 2009 NAKAYAMA S ECHIZEN I Y H Preventing False Positives in Content Based Phishing Detection Intelligent Information Hiding and Multimedia Signal Processing 2009 IIH MSP 09 Fifth International Conference on S 1 2009 CESSO 10 12 13 2009 NAVEGADORES POPULARES NESISTEM G1 NAVEGADORES populares nesistem a ataques em competi URL http g1 globo com noticias tecnologia 0 mul1050769 6174 00 navegadores populares nao resistem a ataques tem competicao html acesso 10 12 13 2009 118 NIKIFORAKIS N KAPRAVELOS A J W K C P F V G Cookieless Monster exploring the ecosystem of web based device fingerprinting Security and Privacy SP 2013 IEEE Symposium on S 1 2013 NTAGWABIRA L KANG S Use of query tokenization to detect and prevent SQL injection attacks Proceedings 2010 3rd IEEE International Confere
179. s quais o participante a Aplica o Teste aguardar um determinado comportamento resultante de um ataque bem sucedido Nesse momento as Extens es que representam o contexto dever o tomar alguma a o que impe a o ataque de ser realizado seja bloqueando recursos do navegador cancelando a requisi o ou resposta ou mesmo solicitando uma confirma o ao usu rio para continuar o processo Figura 4 2 Estrutura da Fase de Defini o O objetivo esperado que a Extens o modifique o comportamento final resultando em algo que n o seja esperado pela Aplica o Teste ou seja impedindo assim a reprodu o do ataque As m tricas s o baseadas nas principais t cnicas de ataques descritas neste estudo A escala foi definida de acordo com a complexidade do ataque e preven o de 86 cada m trica atingida pelas Extens es Tabela 4 1 Defini o das Quest es e M tricas para avalia o Quest es Q1 Qu o efi caz a prote c o das ferramen tas diante dos ata ques A1 Descric o Os testes de XSS 1 WebGoat qual injetar o ser o divididos em 5 etapas a saber A Aplica o Teste acessar uma p gina na comando lt script gt alert XSS lt script gt no campo do formul rio e ir submet lo Posteriormente a Apli ca o Teste ir visualizar o resultado de alerta 2 WebGoat A Aplica o Teste acessar uma p gina na qual esperand
180. sable object oriented software Boston MA USA Addison Wesley Longman Publishing Co Inc 1995 GASTELLIER PREVOST S GRANADILLO G L M A Dual Approach to Detect Pharming Attacks at the Client Side New Technologies Mobility and Security NTMS 2011 4th IFIP International Conference on S 1 2011 GASTELLIER PREVOST S GRANADILLO G L M Decisive Heuristics to Differentiate Legitimate from Phishing Sites Network and Information Systems Security SAR SSD 2011 Conference on S 1 2011 GASTELLIER PREVOST S LAURENT M Defeating pharming attacks at the client side Network and System Security NSS 2011 5th International Conference on S 1 2011 GAURAV AGGRAWAL ELIE BURSZTEIN C J BONEH D An analysis of private browsing modes in modern browsers In Proc of Usenix Security S 1 2010 GEBRE M K S L M H A robust defense against Content Sniffing XSS attacks Digital Content Multimedia Technology and its Applications IDC 2010 6th International Conference on S 1 2010 GEN LU DEBRAY S Automatic Simplification of Obfuscated JavaScript Code a semantics based approach Software Security and Reliability SERE 2012 IEEE Sixth International Conference on S 1 2012 GIFFORD D K STEWART L P A T G Payment switches for open networks Compcon 95 Technologies for the Information Superhighway Digest of Papers S 1 1995 CESSO 10 12 13 2012 GOLPES NA INTERNET URL HTTP CARTILHA CE
181. speitos Apresentando a estrutura externa da extens o Aegis conforme na Figura 3 2 ilustrando a interface da Extens o e as funcionalidades que podem ser ativadas pelo usu rio a qualquer momento em sua navega o O bot o Atualizar ilustrado na Figura 3 2 serve para o usu rio checar atualiza es da extens o a qualquer momento O bot o denunciar serve para o usu rio colaborar informando fraudes sites vulner veis ou vulnerabilidades existentes Adicionalmente todas as op es podem ser acionadas por meio do menu no bot o direito do mouse Na pr xima se o descrita em detalhes as funcionalidades dos N veis de Confian a 58 Servi o do Aegis P p Contetido Fa haii iltrado Gerenciador de Extens es Usu rio Renderizador Conte do Nocivo Componentes ou Complementos Interpretador VULNERABILIDADES NO NAVEGADOR Componentes ou Complementos Inseguros Conte do Vetores de ENGENHARIA SOCIAL Ataques Fraude q Site Servi o na Web FALHAS EM APLICA ES Fraca Prote o aos Dados Atacante Explora o em Inje o de C digo Explora o de Dom nio Cruzado Figura 3 1 Cen rio de atua o do Aegis N vel de Confian a Relacionado ao n vel de confian a que a extens o considera um determinado site A avalia o realizada de acordo com os resultados das an lises dos filtros das Amea as uma vez identificado algum compo
182. st o sendo cada vez mais explorados refletindo o ritmo de crescimento das preocupa es emergentes quanto aos impactos de neg cio Em 1994 consta o primeiro registro de uma publica o na literatura Bina 1994 na ocasi o o artigo trata a respeito de aspectos da Exposi o de Dados Sens veis Ataque do qual ao longo dos anos passou a ser bastante desenvolvido e hoje det m como o mais explorado nas fontes liter rias uma das justificativas para este fato que foi bastante comum ocorrer de uma publica o relat lo em combina o com outros ataques conforme observado anteriormente na Figura 2 4 Na mesma linha Inje o de C digo apresentou se como o tipo de vetor mais explorado na literatura reflexo do expressivo numero de publica es de XSS e SQLi ocupando respectivamente o segundo e terceiro lugar na lista de Ataques mais explorados segundo os resultados desta revis o sistem tica N o t o obstante as preocupa es referentes aos Redirecionamentos e Encaminhamentos Inv lidos e Falhas em Pol ticas de Mesma 49 Origem tiveram n meros expressivos ao contr rio das preocupa es com os ataques de Clickjacking e Complemento Maliciosos este ultimo classificado como o Ataque menos explorado com apenas 27 publica es E por fim o CSRF e Utiliza o de Componentes Vulner veis Conhecidos podem ser classificados como Ataques intermedi rios em respeito ao interesse dos pesquisados e suas ocorr ncias na literatur
183. te s fraudes com um rico acervo dispon vel para o usu rio Em contrapartida em rela o URL curtas com exce o da Aegis nenhuma outra ferramenta foi capaz de ao mesmo tempo em que obtem a URL original verificar se a mesma trata se de um Phishing E ao contr rio do grande n mero de ferramentas anti Phishing dispon veis s o raras as defesas contra falhas em PMO oferecidas e as poucas existentes carecem de boas solu es pois n o consideram diversos aspectos mencionados neste estudo E por fim foi identificado que a proposta desta pesquisa apesar de obter excelentes resultados em ambos os navegadores e uma plenitude na maioria dos testes ainda carece de boas solu es quanto aos ataques A2 e A7 Em rela o ao ataque A2 preciso aperfei oar a heur stica em um modelo que trabalhe em conjunto com ferramentas de an lise com maior profundidade Quanto ao ataque A7 o ponto positivo da proposta que ela oferece uma solu o que ainda n o existe em nenhuma outra extens o para os navegadores mais populares Por m a proposta at o momento n o possui uma preven o satisfat ria indicando que precisa de uma evolu o nesse quesito O pr ximo Cap tulo ir abordar sobre essas evolu es bem como apontar melhorias e trabalhos futuros 103 Conclus es e Trabalhos Futuros At o presente momento e muito provavelmente em alguns anos pela frente as solu es Server side ainda ser o consideradas como as mais
184. te definidos como off Uma vez esse atributo ausente ou definido como on o navegador ir questionar ao usu rio se ele deseja que essas informa es sejam armazenadas e alguns casos o mesmo poder confirmar podendo acarretar em um acesso 78 indevido por outra pessoa que utilizar o navegador no mesmo computador De posse do conte do de resposta a extens o pela a o Modificar Elementos do Formul rio conforme ilustrado na Figura 3 15 ir desmarcar as op es de lembrete de autentica o al m de adicionar o atributo autocomplete com valor off nos elementos encontrados tudo atrav s de DOM e repassar ao usu rio a resposta modificada 3 3 7 Filtro A7 Ataques baseados em A7 O processo de filtragem deste ataque visa identificar componentes que s o considerados componentes e complementos do navegador com vulnerabilidades conhecidas Em mbito geral os plug ins nem sempre s o atualizados automaticamente fazendo com que muitas vezes o usu rio n o perceba que utiliza em seu navegador uma vers o com alguma vulnerabilidade j corrigida ou em casos mais graves o usu rio nem faz ideia que est utilizando um componente com uma vulnerabilidade difundida por m ainda n o solucionada que s o os casos denominados de dia zero Na Figura 3 16 representado o fluxograma do processo de filtragem para a preven o desse tipo de ataque A extens o inicia o processo abrindo uma aba para a p gina de checagem de plug
185. teratura com 160 publica es e segundo OWASP 2013g o ataque com maior criticidade em aplica es web devido ao alto impacto nos neg cios Inje o SQL ou SQLi um ataque que se aproveita da falha no tratamento de entradas em formul rios que enviam informa es das quais alimentam um banco SQL SANS MITRE 2011 Principais T cnicas de Ataque a Manipula o de par metro Pode ser realizado atrav s de par metros da URL GET ou de formul rios POST ou em qualquer entrada que resulte em um recurso que acesse a camada de persist ncia de uma aplica o que utilize SQL ANSI SANS MITRE 2011 MITRE 2013a b Conte do injetado atrav s de codifica o Mesma t cnica de codifica o utilizada em XSS para escapar caracteres especiais como aspas ou Tamb m envolvem aspectos relacionados a express o regular OWASP 20131 A a o ilustrada na Figura 2 7 reproduz uma concatena o na sintaxe SQL que resulta em crit rios com uma verdade absoluta no caso o 0 0 que sempre ser true e seguindo a regra de condicionais a sintaxe resultante seria FALSE or TRUE como na regra do OR basta um lado ser verdadeiro o SELECT da sintaxe SQL ir retornar TRUE na opera o WHERE e todos os registros da tabela usu rios Como a consulta trar resultados o atacante ser autorizado na tentativa de efetuar login na aplica o recebendo um acesso indevido que ir assumir o primeiro registro da listagem retornada Outr
186. tos em detalhes mais adiante chegando taxonomia proposta na Figura 2 2 Na Figura 2 2 demonstra que com base na classifica o dos resultados na literatura a amea a 1 possui tr s Vetores relacionados dos quais est o contidos cinco Ataques distintos J a amea a 11 possui 24 Causa Vetores e Ataques Vulnerabilidades Enc sbadasaaai Vulnerabilidades Vulnerabilidades Vulnerabilidades em Aplica es Web B em Aplicac es Web no do em Aplicac es Web Vetor 1 Vetor 2 Vetor 3 Vetor 4 Vetor 5 Inje o de C digos Fraudes Fraca Prote o aos Componentes ou Ataques de Dados Complementos Dom nio Cruzado A3 Inseguros aa Clickjacking Cross site Scripting A8 Los AA A6 A7 Cross Site Request Redirecionamentos Exposi o da Dados Utiliza o de Forgery CSRF e Encaminhamentos Seen Componentes Invalidos Vulner veis A2 Conhecidos Injec o SQL A9 SQLi AS Falhas nas Politicas Complementos de Mesma Origem Maliciosos pa po Figura 2 2 Taxonomia das Amea as Vetores e Ataques um Vetor disseminador do qual possui tr s Ataques E por fim a amea a iii possui tamb m apenas um Vetor e um Ataque relacionado A classifica o tamb m gerou como resultado um agrupamento dos trabalhos com maior ader ncia ao tema proposto desta pesquisa e o tipo da solu o proposta em cada publica o Estes resultados ser o apresentad
187. tr s componentes principais cada um deles possui uma heur stica especifica que relaciona as principais t cnicas de defesa descritas no Cap tulo 2 O filtro inicia seu processo no m todo onCompleted do WebRe quest verificando se o site em quest o encontra se na lista de exce es Essa lista serve para catalogar os sites que o usu rio considera como confi veis identificando que nesses casos a requisi o poder ser processada No pr ximo passo o filtro captura o conte do a ser apresentado ao usu rio e submete o a uma an lise est tica buscando elementos considerados suspeitos mais precisamente tags HTML como lt iframe gt ou lt embed gt entre outras previamente catalogadas em uma lista negra Ocorrendo a utiliza o de algum elemento presente na lista o filtro ir questionar se o dom nio em quest o est presente em uma lista branca que representa sites anteriormente considerados confi veis pelo usu rio O processo seguir normalmente caso o site em quest o conste na lista branca caso contr rio o filtro ir bloquear algum recurso do Navegador Por ser um ataque de XSS geralmente o recurso a ser bloqueado o JS Por m outros recursos podem ser bloqueados de acordo com a sem ntica do conte do um bom exemplo o caso de XSS sendo aplicado via CSS OWA 2013g Al m disso um atenuante nestes cen rios que uma vez a aplica o suscet vel a XSs ela tamb m est vulner vel a ataques XSS explorados atrav s do
188. u navegador TecMundo 2013b Um bom exemplo foi na ocasi o onde um grupo de criminosos conseguiu publicar extens es maliciosas na Chrome Store Protalinski 2012 Ataque 6 Exposi o de Dados Sens veis A6 Vetor Relacionado Vetor 3 Fraca Prote o aos Dados Defini o Com base desta pesquisa a Exposi o de Dados Sens veis foi identificada como a amea a mais explorada de toda a literatura com 325 publica es registradas Este ataque est intr nseco as politicas de seguran a utilizadas durante o desenvolvimento de uma aplica o direcionada aos requisitos relacionados a prote o dos dados OWASP 2013g MITRE 20129 Principais T cnicas de Ataque Desenvolvimento inapropriado da Aplica o Segundo OWASP 2013g os pro blemas mais comuns s o na forma incorreta ou aus ncia na criptografia de dados sens veis Outras amea as descritas na literatura como Man in the Middle e Falha no Gerencia mento de Sess es de Aplica es tamb m est o envolvidas neste cen rio e ambos s o frutos de uma falha na prote o do respectivo dado sens vel OWASP 2009 OWASP 8Certisign Certificadora Digital http www certisign com br Chrome Web Store https chrome google com webstore 42 2013g Conforme ilustrado na Figura 2 12 este tipo de ataque tamb m est direta mente associado s t cnicas aplicadas a seguran a nos dados de Cookies Hist ricos Cache ou outras funcionalidades do navegador como
189. uting and Applications NCA 2010 9th IEEE International Symposium on S 1 2010 ASSAD R E SSQA Software Security Quality Assurance 2011 Tese Doutorado em Ci ncia da Computa o Universidade Federal de Pernambuco Centro de Informca AUSTIN A HOLMGREEN C WILLIAMS L A comparison of the efficiency and effectiveness of vulnerability discovery techniques Information and Software Technology S 1 2013 BALASUNDARAM IL RAMARAJ E An Efficient Technique for Detection and Prevention of Injection Attack using Based String Matching Procedia Engineering S 1 2012 BALDUZZI M E M K E B D K C A solution for the automated detection of clickjacking attacks Proceedings of the 5th International Symposium on Information Computer and S 1 2010 BALFANZ D D E W F D S W D Java security web browsers and beyond Internet besieged S 1 1997 BALZER R Safe email safe office and safe web browser demo description DARPA Information Survivability Conference and Exposition 2003 Proceedings S 1 2003 BAMRARA A S G B M Cyber attacks and defense strategies in India an empirical assessment of banking sector International Journal of Cyber Criminology S 1 2013 BANDHAKAVI S et al CANDID preventing sql injection attacks using dynamic candidate evaluations Proceedings of the ACM Conference on Computer and Communications Security S 1 2007 BARONE G B MARGARITA N M A M
190. vegador Como 44 exemplo a exist ncia de in meras vulnerabilidades encontradas no motor de navegador WebKit Details 2013c Vulnerabilities 2013 e Gecko Details 20132 motores utilizado em diversos navegadores da atualidade b Ataques de Dia Zero Ocorrem quando mal intencionados se aproveitam de falhas ainda n o corrigidas ou recentemente detectadas para realizar a explora o destas vulnerabilidades McAfee 2013 Symantec 2011 c Vulnerabilidades em Componentes de Terceiros Al m das vulnerabilidades oriun das dos componentes nativos do navegador o usu rio tamb m est suscet vel a vulnera bilidades encontradas em componentes de terceiros que s o incorporados ao navegador Estes recursos adicionais como leitores de arquivos PDF do Adobe Reader ou v deos Stream do Adobe Flash ou Quick Time possibilitando a reprodu o de diversos arqui vos multim dia al m de oferecer recursos com maior intera o do usu rio em sites ou servi os disponibilizados na internet como a Rich Internet Application RIA a exemplo do Microsoft Silverlight e Java FX Comprometimento aos dados do usu rio atrav s de vulnerabilidades exploradas em recursos desta natureza n o s o incomuns McAllister 2013 IDGNow 2013a Details 2013b Outro exemplo a vulnerabilidade no com ponente SilverLight que permite o acesso indevido ao arquivo clientaccesspolicy xml permitindo explora o de CSRF Couvreur 2006 Consequ ncias As consequ
Download Pdf Manuals
Related Search