Total Security - www.totalsecurity.com.br
Mês dos Bugs em PHP - Março 2007
Alerta do CAIS 20070315
O CAIS gostaria de alertar a todos para alguns cuidados que podem ser tomados para se aumentar a segurança em aplicações PHP.
A incidência de ataques bem sucedidos a aplicações Web continua, e o assunto segurança em aplicações web está tão em evidência que em Fevereiro de 2007 o projeto Honeynet lançou o artigo "Web Application Threats: Using Honeypots to learn about HTTP-based attacks", da série "Know your Enemy", dedicado a ameaças a aplicações Web.
Confirmando ainda mais esta tendência, o mês de Março de 2007 foi escolhido pelo projeto Hardened-PHP como "Mês dos Bugs em PHP" (Month of PHP Bugs). Até o dia 14/03/2007 já haviam sido divulgados 22 novos bugs em PHP. A idéia de um mês dedicado a um determinado tipo de vulnerabilidade foi lançada em Julho de 2006 pelo Projeto Metasploit, com o "Month of Browser Bugs (MOBB)".
O CAIS já publicou diversos alertas relacionados com PHP, entre eles "Ataques de injeção de código PHP em aplicações diversas". Neste alerta o foco foi a exploração em massa de diversas aplicações em PHP populares, como phpBB, Mambo e AWStats.
A seguir apresentamos algumas dicas de como aumentar a segurança de sua instalação PHP. Para mais informações sobre tendências de exploração consulte o documento "Web Application Threats", relacionado na seção "Mais informações".
Siga nossas dicas e transforme Março no "Mês de Mais Segurança em PHP".
Protegendo Servidores e aplicações Web:
* Atualização - mantenha atualizada toda a base operacional sobre a qual sua aplicação web está instalada. Isto significa manter PHP, servidor Web e Sistema Operacional sempre na última versão disponível, com todas as correções aplicadas. Lembre-se, entretanto, de que a atualização não deve ser a única medida de segurança que um administrador deve tomar.
* Escolha sabiamente - evite usar aplicações Web reconhecidamente vulneráveis, como PHP-Nuke, Mambo, AWStats, phpBB, WebCalendar, Coppermine Photo Gallery e Zeroboard, a menos que você e sua empresa tenham condições de aplicar correções de segurança frequentemente.
* Inventário - mantenha um inventário das aplicações Web instaladas. Desta forma é mais fácil saber quais softwares devem ser mantidos atualizados. Assine as listas de segurança dos aplicativos php instalados.
* OWASP - consulte os guias do projeto OWASP (Open Web Application Security Project) para orientações sobre segurança em aplicações web.
* SANS Top-20 - consulte a seção C.1 das recomendações para administradores de sistemas do SANS Top-20 2006. Ha uma versão em português do documento, traduzida pelo CAIS.
* Ferramenta mod_security para Apache - Se você usa o servidor web Apache use ModSecurity (mod_security) para monitorar o trafego HTTP em tempo real e detectar ataques. Vetores comuns de ataque, como a tentativa de execução de comandos do Sistema Operacional como "wget", "cat" e outros, podem ser bloqueados desta forma.
* Ferramenta Suhosin - Imponha controle sobre a execução de scripts PHP usando a ferramenta Suhosin.
* PHP Data objects - Use a extensão PHP Data Objects (PDO) para realizar consultas SQL. Essa função serve como interface de acesso a bases de dados.
* NIDS - implemente um NIDS (Network Intrusion Detection System) para detectar atividade maliciosa de rede, tráfego IRC partindo de um servidor web, por exemplo. O CAIS recomenda o uso das regras Bleeding Edge, caso se utilize o NIDS Snort.
* HIDS - o uso de um HIDS (host-based Intrusion Detection System) que monitore a integridade de arquivos e diretórios críticos do sistema é útil, em ultimo caso, na detecção de ataques bem sucedidos.
Mantenha-se informado:
Manter-se informado sobre as atualizações é um desafio para o administrador, visto o número de vulnerabilidades, correções e fontes de informação. Lembre-se de que a medida mais básica de segurança em aplicações Web é manter os sistemas em suas últimas versões, livres de vulnerabilidades conhecidas.
* Assine listas de anúncios dos produtos.
* Inclua o feed RSS do fornecedor do software em seu agregador RSS. Você pode usar um agregador RSS baseado em e-mail para facilitar a gerência e distribuição dos feeds, como rss2email.
* Você pode consultar o inventário de aplicações críticas utilizadas (não apenas relacionadas a Web) e cadastrá-las em um sistema de notificação de vulnerabilidades, como o Cassandra. Este sistema o manterá atualizado com relação às vulnerabilidades das bases de dados da Secunia e ICAT (NIST National Vulnerability Database).
Fonte: cais/RNP
O CAIS gostaria de alertar a todos para alguns cuidados que podem ser tomados para se aumentar a segurança em aplicações PHP.
A incidência de ataques bem sucedidos a aplicações Web continua, e o assunto segurança em aplicações web está tão em evidência que em Fevereiro de 2007 o projeto Honeynet lançou o artigo "Web Application Threats: Using Honeypots to learn about HTTP-based attacks", da série "Know your Enemy", dedicado a ameaças a aplicações Web.
Confirmando ainda mais esta tendência, o mês de Março de 2007 foi escolhido pelo projeto Hardened-PHP como "Mês dos Bugs em PHP" (Month of PHP Bugs). Até o dia 14/03/2007 já haviam sido divulgados 22 novos bugs em PHP. A idéia de um mês dedicado a um determinado tipo de vulnerabilidade foi lançada em Julho de 2006 pelo Projeto Metasploit, com o "Month of Browser Bugs (MOBB)".
O CAIS já publicou diversos alertas relacionados com PHP, entre eles "Ataques de injeção de código PHP em aplicações diversas". Neste alerta o foco foi a exploração em massa de diversas aplicações em PHP populares, como phpBB, Mambo e AWStats.
A seguir apresentamos algumas dicas de como aumentar a segurança de sua instalação PHP. Para mais informações sobre tendências de exploração consulte o documento "Web Application Threats", relacionado na seção "Mais informações".
Siga nossas dicas e transforme Março no "Mês de Mais Segurança em PHP".
Protegendo Servidores e aplicações Web:
* Atualização - mantenha atualizada toda a base operacional sobre a qual sua aplicação web está instalada. Isto significa manter PHP, servidor Web e Sistema Operacional sempre na última versão disponível, com todas as correções aplicadas. Lembre-se, entretanto, de que a atualização não deve ser a única medida de segurança que um administrador deve tomar.
* Escolha sabiamente - evite usar aplicações Web reconhecidamente vulneráveis, como PHP-Nuke, Mambo, AWStats, phpBB, WebCalendar, Coppermine Photo Gallery e Zeroboard, a menos que você e sua empresa tenham condições de aplicar correções de segurança frequentemente.
* Inventário - mantenha um inventário das aplicações Web instaladas. Desta forma é mais fácil saber quais softwares devem ser mantidos atualizados. Assine as listas de segurança dos aplicativos php instalados.
* OWASP - consulte os guias do projeto OWASP (Open Web Application Security Project) para orientações sobre segurança em aplicações web.
* SANS Top-20 - consulte a seção C.1 das recomendações para administradores de sistemas do SANS Top-20 2006. Ha uma versão em português do documento, traduzida pelo CAIS.
* Ferramenta mod_security para Apache - Se você usa o servidor web Apache use ModSecurity (mod_security) para monitorar o trafego HTTP em tempo real e detectar ataques. Vetores comuns de ataque, como a tentativa de execução de comandos do Sistema Operacional como "wget", "cat" e outros, podem ser bloqueados desta forma.
* Ferramenta Suhosin - Imponha controle sobre a execução de scripts PHP usando a ferramenta Suhosin.
* PHP Data objects - Use a extensão PHP Data Objects (PDO) para realizar consultas SQL. Essa função serve como interface de acesso a bases de dados.
* NIDS - implemente um NIDS (Network Intrusion Detection System) para detectar atividade maliciosa de rede, tráfego IRC partindo de um servidor web, por exemplo. O CAIS recomenda o uso das regras Bleeding Edge, caso se utilize o NIDS Snort.
* HIDS - o uso de um HIDS (host-based Intrusion Detection System) que monitore a integridade de arquivos e diretórios críticos do sistema é útil, em ultimo caso, na detecção de ataques bem sucedidos.
Mantenha-se informado:
Manter-se informado sobre as atualizações é um desafio para o administrador, visto o número de vulnerabilidades, correções e fontes de informação. Lembre-se de que a medida mais básica de segurança em aplicações Web é manter os sistemas em suas últimas versões, livres de vulnerabilidades conhecidas.
* Assine listas de anúncios dos produtos.
* Inclua o feed RSS do fornecedor do software em seu agregador RSS. Você pode usar um agregador RSS baseado em e-mail para facilitar a gerência e distribuição dos feeds, como rss2email.
* Você pode consultar o inventário de aplicações críticas utilizadas (não apenas relacionadas a Web) e cadastrá-las em um sistema de notificação de vulnerabilidades, como o Cassandra. Este sistema o manterá atualizado com relação às vulnerabilidades das bases de dados da Secunia e ICAT (NIST National Vulnerability Database).
Fonte: cais/RNP
URL Fonte: http://www.totalsecurity.com.br/noticia/1781/visualizar/
Comentários