Quão seguro é o espaço de comentários do seu site? Descubra como um aparentemente inocente comentário de "obrigado" em uma página de produto escondeu uma vulnerabilidade maliciosa, sublinhando a necessidade de medidas de segurança robustas.
Quando um "Obrigado" não é um "Obrigado"? Quando se trata de um trecho de código malicioso escondido dentro de uma imagem de "Obrigado" que alguém postou na seção de comentários de uma página de produto!
O segredo nefasto escondido dentro deste código específico foi projetado para permitir que hackers burlassem controles de segurança e roubassem as informações de identificação pessoal de consumidores online, o que poderia significar grandes problemas para eles e para a empresa.
A página em questão pertence a um varejista global.
Comunidades de usuários são frequentemente uma ótima fonte de conselhos imparciais de colegas entusiastas, razão pela qual um proprietário de uma câmera Nikon estava postando lá.
Eles estavam procurando a lente 50mm ideal e pediram uma recomendação.
Agradeceram antecipadamente a quem quer que se dispusesse a responder, e até deixaram uma pequena imagem que dizia, "Obrigado", também, e a olho nu parecia estar bem.
O comentário e a imagem permaneceram no site por três anos, mas quando a empresa começou a usar a solução de gestão contínua de ameaças da web da Reflectiz, uma empresa líder em segurança web, ela detectou algo preocupante dentro desta imagem de aparência inocente durante uma varredura de monitoramento de rotina.
Uma das melhores coisas sobre a web é o fato de você poder compartilhar imagens facilmente, mas como um ser humano olhando para centenas delas todos os dias, é fácil esquecer que cada uma é feita de código, assim como qualquer outro ativo digital em uma página da web.
Sendo esse o caso, atores maliciosos frequentemente tentam esconder seu próprio código dentro delas, o que nos leva à prática da esteganografia.
Este é o termo para esconder um pedaço de informação dentro de outro.
Não é o mesmo que criptografia, que transforma mensagens em algo incompreensível para que não possam ser entendidas.
Em vez disso, a esteganografia esconde dados à vista de todos, neste caso, dentro de uma imagem.
Você pode estar ciente de que monitores de computador exibem imagens usando um mosaico de pontos chamados pixels e que cada pixel pode emitir uma mistura de luz vermelha, verde e azul.
A força de cada cor em um desses pixels RGB é determinada por um valor entre 0 e 255, então 255,0,0 nos dá vermelho, 0,255,0 nos dá verde, e assim por diante.
255,0,0 é o vermelho mais forte que a tela pode exibir, e enquanto 254,0,0 é um tanto menos forte, pareceria exatamente o mesmo para o olho humano.
Fazendo muitas dessas pequenas alterações nos valores dos pixels selecionados, atores maliciosos podem esconder código à vista de todos.
Ao mudar o suficiente deles, eles podem criar uma sequência de valores que um computador pode ler como código, e no caso da imagem postada na seção de comentários do varejista de fotografia, a imagem alterada continha instruções ocultas e o endereço de um domínio comprometido.
Foi uma surpresa descobrir que o JavaScript na página estava usando as informações ocultas para se comunicar com ele.
O grande problema para qualquer pessoa que opera um site de e-commerce é que atores maliciosos estão sempre procurando oportunidades para roubar PII de cliente e detalhes de cartões de pagamento, e alterar arquivos de imagem é apenas um dos muitos métodos possíveis que eles usam.
Legisladores em um número crescente de territórios, bem como criadores de regras em áreas como a indústria de cartões de pagamento, responderam implementando frameworks regulatórios detalhados que impõem exigências de segurança rigorosas aos provedores, junto com grandes multas se falharem.
O GDPR exige que qualquer pessoa que venda para clientes da União Europeia siga seu amplo e detalhado framework.
Sempre que um varejista de e-commerce sucumbe à esteganografia ou qualquer outro tipo de ataque que comprometa informações do cliente, isso pode atrair multas de milhões de dólares, desencadear ações coletivas e criar publicidade negativa que leva a danos à reputação.
É por isso que é tão crucial entender como defender seu site contra tais ataques, o que o estudo de caso completo explica.
O estudo de caso entra em profundidade sobre como essa ameaça foi descoberta e controlada, mas a explicação curta é que a tecnologia de monitoramento da plataforma detectou atividade suspeita em um componente da web, em seguida, cruzou certos detalhes com seu extenso banco de dados de ameaças.
O sistema rotineiramente identifica e bloqueia quaisquer componentes web de terceiros que rastreiam a atividade do usuário sem sua permissão.
Ele detecta quais componentes de terceiros se apoderam das permissões de geolocalização, câmera e microfone dos usuários sem o seu consentimento e mapeia todos os componentes da web que podem acessar informações sensíveis.
Neste caso, especialistas em segurança humanos da Reflectiz alertaram a empresa sobre a vulnerabilidade, deram à sua equipe de segurança etapas claras de mitigação e investigaram o código suspeito para entender como os atacantes conseguiram colocá-lo lá.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...