Telefónica Tech Boletim semanal de Cibersegurança 29 Abril – 5 Maio Vulnerabilidade crítica nos firewalls Zyxel O fabricante de equipamentos de rede Zyxel lançou patches de segurança para uma vulnerabilidade crítica que afeta seus firewalls. A vulnerabilidade, que foi descoberta e relatada...
Telefónica Tech Boletim semanal de Cibersegurança 15 – 21 Abril Google corrige duas novas vulnerabilidades de 0-day exploradas ativamente O Google emitiu novos avisos de segurança sobre a identificação de vulnerabilidades de 0-day que afeta o navegador Chrome que está...
WebAuthn, outra proposta para um mundo sem senhasElevenPaths 25 septiembre, 2019 Falamos em várias ocasiões sobre o estado atual das autenticações, de como a combinação nome de usuários e senha está ficando antiquada, não só por suas fragilidades relacionadas ao momento de seleção de uma boa senha, mas também pela maneira como se armazena esses dados nos diversos sistemas. Dentre as alternativas propostas para solucionar esses problemas, o WebAuthn nos parece interessante. Até hoje, todas as estratégias de melhoria ao esquema atual de autenticação foram patches ou “panos quentes”. Os atacantes podem exfiltrar a base de dados com hashes e recuperar senhas mediante ataques rainbow table, basta adicionar um sal à senha. As senhas escolhidas pelo usuário são fracas ou previsíveis? Criemos um conjunto de regras, maiúsculas, números, símbolos que, ao final e paradoxalmente, farão com que o usuário as esqueça e resete sua senha a cada login. Se há uma constante na ciência e na tecnologia é que tudo muda. Mas a mudança aqui não deve ser manter o sistema e adicionar um segundo fator de segurança, ou uma solução de gestão de identidades que nada mais fazem do que “centralizar” o problema. Sabemos que o desaparecimento da combinação usuário e senha não vai acontecer no curto ou mesmo no médio prazo, as novas soluções para o problema serão adotadas somente após o conhecimento geral das falhas desse sistema que levarão à exploração de alternativas que permitam, progressivamente, nos livrar desse padrão. Falamos do WebAuthn, iniciativa adotada por Microsoft, Mozilla, Google e Yubico, dentre outros. A ideia é simples: substituir a criação de autenticação de contas em aplicações web baseadas em senhas por um esquema focado em criptografia de chave pública e apoiado em mecanismos de autenticação já existentes nos sistemas como o Windows Hello ou o Apple Touch ID. Essa técnica tem um efeito importante, ainda que não definitivo, em relação ao armazenamento de credenciais em servidores, já que não se armazena nenhum dado secreto do usuário em bases de dados. O que os atacantes encontrariam seria um conjunto de chaves públicas que não tem qualquer utilizada para acessar a conta alvo e muito menos utilizar esses dados para se conectar a múltiplos websites, o que resolve outro grande mal: o uso repetido de senhas para vários serviços. Assim, quando o usuário se registra em uma aplicação web, não se solicita qualquer dado de acesso, nesse processo, de forma transparente, serão geradas duas chaves, uma pública que será armazenada na aplicação e outra privada (essa a mais importante) que permanecerá guardada no dispositivo do usuário. Essa última é que servirá para assinar tudo o que sair do dispositivo e a pública se encarregará de constatar a autenticidade no lado do servidor. No esquema abaixo podemos ver o ciclo de registro em uma aplicação web: Como podemos ver, o papel central do processo se reserva ao navegador (na realidade em qualquer user-agent que implemente as APIs), que incorpora a API específica de WebAuth para se comunicar com o relaying (a aplicação na qual se deseja efetuar o login) e o “autenticador” que pode ser, por exemplo, um leitor de digitais ou sistema de reconhecimento facial que vai certificar a identidade do usuário. Após esse registro, o sistema está pronto para realizar a autenticação. Como podemos ver no esquema, as partes do processo seguem sendo as mesmas. Se trata nesse caso de um ciclo muito similar ao de registro, só que mais simplificado, que dá resposta a um desafio gerado pela aplicação a qual queremos nos conectar e da qual já temos cadastro. O “autenticador”, por exemplo o leitor de digitais, nos pedirá para realizar o teste de identidade e responderá ao desafio. Sem o uso de qualquer senha. Além disso, pode-se aproveitar as capacidades de pareamento dos dispositivos do usuário. Desse modo, ainda que saiamos da aplicação em um dispositivo (no celular por exemplo), podemos delegar a autenticação usando o mecanismo de autorização desse dispositivo ao acessar de outro local. O site solicitaria a autenticação, mas esse pedido seria desviado ao telefone celular do usuário, que é o dispositivo que originou a criação da conta e contém a chave privada, similar ao conceito de algumas aplicações móveis que usam como segundo fator de autenticação um “pressione aqui para autorizar acesso”. Sem dúvida nenhuma, é uma vantagem não depender da digitação de um usuário e escolha de senha forte, que não seja compartilhada em diversos sites e que não tenha que ser lembrada (no caso de não se usar um gerenciador de senhas). Por um lado, uma credencial em texto plano pode ser roubada (com o uso de um keylogger ou por descuido do usuário), ou se pode quebra-las se são fracas ou seguem um padrão, por outro lado a forma atual (segura ou não) de armazenar essas senhas (ou seu hash) em uma base de dados segue sendo um quebra cabeças para os desenvolvedores, ainda mais quando essa base de dados acaba sendo publicada por uma invasão ou vazamento. Com a capacidade biométrica implementada em dispositivos móveis a cada atualização, cresce o potencial de aplicação e integração desse sistema em todo tipo de aplicação, afinal estamos sempre com nossos celulares à mão. Ainda que não estejamos próximos do fim das senhas, iniciativas como o WebAuthn nos levam para um processo de autenticação mais seguro, sem deixar de ser mais cômodo. Vazamentos de binários: de bases de dados de cidadãos a senhas expostas em aplicações de governamentaisVerificação em duas etapas no WhatsApp, segurança adicional ou enganação?
Telefónica Tech Boletim semanal de Cibersegurança 11 – 17 Fevereiro Apple corrige 0-day explorado ativamente A Apple emitiu vários avisos de segurança para corrigir uma vulnerabilidade de 0-day explorada ativamente. A falha de segurança, listada como CVE-2023-23529, é uma confusão...
Telefónica Tech Boletim semanal de Cibersegurança 4 – 10 Fevereiro Vulnerabilidade crítica no Atlassian Jira A Atlassian emitiu um comunicado de segurança no qual lança correções para resolver uma vulnerabilidade crítica no Jira Service Management Server e no Data Center. De...
Telefónica Tech Boletim semanal de Cibersegurança 27 Janeiro – 3 Fevereiro LockBit Green: nova variante LockBit Pesquisadores da vx-underground detectaram recentemente que uma nova variante de ransomware, chamada LockBit Green, está sendo usada pelos manipuladores de ransomware LockBit. Esta nova variante seria...
Telefónica Tech Boletim semanal de Cibersegurança 21 – 27 Janeiro Killnet visando vítimas na Espanha Esta semana, o grupo hacktivista Killnet anunciou uma campanha de ataques contra a Alemanha, levando a ataques de Negação de Serviço Distribuído (DDoS) que tornaram...
Telefónica Tech Boletim semanal de Cibersegurança 14 – 20 Janeiro Vulnerabilidades críticas nos roteadores Netcomm e TP-Link Várias vulnerabilidades foram descobertas nos roteadores Netcomm e TP-Link. Por um lado, as falhas, identificadas como CVE-2022-4873 e CVE-2022-4874, são um caso de estouro de...
Telefónica Tech Boletim semanal de Cibersegurança 31 Dezembro – 6 Janeiro Cadeia de dependência do PyTorch é violada O PyTorch, uma popular estrutura de aprendizado de máquina de código aberto, alertou os usuários que instalaram o PyTorch todas as noites entre...