BASIC INTERACTIVE PRESENTATION

Identificação e AutenticaçãoSoftware e Integridade de DadosRegistro e Monitoramento de SegurançaSolicitação do Lado do Servidor

André OliveiraAntónio PinhelBeatriz EleodorioMariana Oliveira

Vulnerabilidades OWASP

Netflix como Use-Case

Serve de exemplo e não de casos reais de ataques e vulnerabilidades a esta aplicação.

Processo de Login

Nome de Utilizador e password: O utilizador insere seu nome de utilizador e password na página de login da Netflix. Autenticação: A Netflix verifica se as credenciais inseridas estão corretas no banco de dados. Token de Sessão: Se as credenciais estiverem corretas, a Netflix cria um "token de sessão" exclusivo, que é como um bilhete de acesso temporário. Acesso ao Conteúdo: Com o token de sessão, o utilizador é direcionado à sua conta e pode aceder o conteúdo.

Ataques de Força Bruta: Tentativas repetidas de adivinhar a password. Phishing: Sites falsos que parecem autênticos, que enganam os utilizadores para revelar suas credenciais. Roubo de Credenciais: Intercetação de dados durante a transmissão. Vazamento de Dados: Exposição de informações de login devido a falhas de segurança.

Inserção de Credenciais;
Captura de Credenciais;
Uso das Credenciais.

Cenário: ataque de Phishing

Preparação do hacker;
Envio de Emails Falsos;
Redirecionamento para o Site Falso;

Passwords Fortes: Incentivar passwords complexas e únicas. Autenticação de Dois Fatores (2FA): Exige um segundo método de autenticação além da password. Monitoramento de Atividade Suspeita: Detetar padrões incomuns de login. Criptografia: Garantir que os dados de login estejam protegidos durante a transmissão. Proteção contra Phishing: Educar utilizadores sobre como identificar e evitar sites falsos. Monitoramento de Vazamentos de Dados: Monitorar se as credenciais dos utilizadores foram comprometidas em vazamentos.

As Actualizações

Segundo a OWASP, em 2021, surgiram preocupações de segurança relacionadas à falta de verificação de integridade em atualizações de software, dados críticos e pipelines de CI/CD. Essas preocupações foram avaliadas com base em dados do CVE/CVSS e incluíram problemas como a inclusão de funcionalidades não confiáveis, o download de código sem verificações adequadas e a deserialização de dados não confiáveis. As falhas na integridade de software e dados ocorrem quando o código e a infraestrutura não protegem contra violações de integridade. Isso pode ocorrer quando aplicativos dependem de fontes não confiáveis, como plugins, bibliotecas ou módulos, repositórios ou CDNs. Pipelines de CI/CD inseguros podem resultar em acesso não autorizado, código malicioso ou comprometimento do sistema. A atualização automática de aplicativos sem verificação adequada pode permitir atualizações maliciosas. Além disso, objetos ou dados codificados de forma insegura podem ser visualizados e modificados por atacantes, tornando a deserialização um risco.

As Actualizações

A possibilidade de um hacker enviar um código malicioso por meio de atualizações de software é uma preocupação legítima, embora seja relativamente rara, especialmente em empresas e serviços de renome, como a Netflix. Entretanto, e-mails como este da imagem ao lado, podem ser enviados como forma de induzir o assinante a fazer download ou então as vezes até modificar a forma de pagamento, acreditando tratar-se mesmo da plataforma.

As Actualizações - Métodos de Prevenção

Use assinaturas digitais ou mecanismos semelhantes para verificar a origem e a integridade do software e dos dados.
Certifique-se de que bibliotecas e dependências, como npm ou Maven, utilizem repositórios confiáveis. Considere a criação de um repositório interno conhecido como um "bom" se você tiver um alto perfil de risco.
Utilize ferramentas de segurança da cadeia de suprimentos de software, como OWASP Dependency Check ou OWASP CycloneDX, para verificar componentes em busca de vulnerabilidades conhecidas.
Estabeleça um processo de revisão rigoroso para mudanças de código e configuração para reduzir o risco de introdução de código ou configuração maliciosos.
Garanta a segregação adequada, configuração e controle de acesso em seu pipeline de CI/CD para manter a integridade do código durante os processos de construção e implantação.
Evite enviar dados serializados não assinados ou não criptografados para clientes não confiáveis, implementando verificações de integridade ou assinaturas digitais para detectar adulterações ou retransmissões.

A vulnerabilidade relacionada às "Falhas de Registro e Monitoramento de Segurança" é um problema crítico que afeta a segurança de sistemas e aplicações.Neste contexto, as falhas de registro e monitoramento de segurança referem-se à incapacidade de um sistema ou aplicação registrar e monitorar adequadamente as atividades relacionadas à segurança. Isso significa que eventos importantes, como tentativas de acesso não autorizado, atividades suspeitas ou outras ações que possam indicar uma possível violação de segurança, não são registrados ou monitorados de forma eficaz.

Os Registos e Monitorização de Segurança

O monitoramento e registro de segurança subiram da décima posição na lista OWASP Top 10 de 2017 para a terceira posição na pesquisa da comunidade Top 10, dados de 2021. É desafiante testar o monitoramento e registro.Sem um registro e monitoramento adequados, as organizações podem não estar cientes de ataques em andamento ou podem não ser capazes de identificar a origem e a natureza das ameaças, tornando-as vulneráveis a comprometimentos de segurança.

Os Registos e Monitorização de Segurança

Contexto:A Netflix é uma das maiores plataformas de streaming de vídeo do mundo, com milhões de assinantes e uma vasta biblioteca de conteúdo. No entanto, mesmo com todas as medidas de segurança em vigor, os invasores encontraram uma vulnerabilidade significativa no sistema de registro e monitoramento de segurança da empresa.