Falhas no Flash e insegurança na web são destaques em conferência hacker
Na Black Hat 2010, que teve início domingo (31/1) nos EUA, especialistas demonstram bugs ao vivo - e sugerem formas de se livrar deles.
Na conferência de segurança Black Hat, que teve início no domingo (31/1), em Washington DC (EUA), especialistas de segurança planejam mostrar como o projeto e a construção de sistemas de software e de hardware podem ser frágeis, por meio da descoberta e da exploração de brechas e buracos no delicado tecido que forma a web.
O evento teve início de modo humilde em 1997, como um encontro único anual em Las Vegas (EUA). Atualmente a Black Hat tem várias edições - este ano, haverá seminários em Barcelona, na Espanha, e em Adu Dhabi, nos Emirados Árabes.
A edição da capital dos EUA, sede dos principais órgãos de inteligência do país, conta com o patrocínio de cerca de 30 empresas, incluindo Novell, Microsoft, RIM/BlackBerry e Intel, e segue até quarta-feira (3/2).
Ataques Flash
O pesquisador sênior de segurança da Foreground Security, Michael Bailey, por exemplo, pretende realizar ataques ao vivo contra alguns dos maiores sites web, para mostrar que eles podem ser comprometidos com a exploração do que ele diz ser falhas de projeto do Adobe Flash.
"O que eu tento provar é que o Flash é tão explorável quanto qualquer outro ponto da web", diz Bailey, acrescentando que as cerca de duas dúzias de sites nos quais ele pode mirar foram avisados com antecedência sobre as debilidades que ele detectou.
O pesquisador não revela o nome dos sites que pretende testar, mas diz que sua relação inclui sites de rede social, grandes portais de notícias e empresas de tecnologia.
As questões sobre o Flash que devem ser enfatizadas em sua apresentação ao vivo não poderiam ser corrigidas pela Adobe com um simples patch, sustenta Bailey.
A Adobe sabe da ocorrência da apresentação, mas diz não ter detalhes sobre seu conteúdo. Para o diretor de privacidade e de segurança de conteúdo da empresa, Brad Arkin, parece que Bailey estaria apontando "erros comuns de programação na web que os desenvolvedores geralmente cometem".
O site da adobe oferece informação em seu site para ajudar os desenvolvedores a criar sites seguros, fornecendo treinamento e documentação, acrescenta.
Brechas na web
Potenciais pontos de vulnerabilidade em outras áreas também devem ser abordados no evento de segurança.
O consultor sênior de segurança da Trustwave, David Byrne, diz que ele e seu colega Rohini Sulatycki vão mostrar como uma falha na aplicação de controles de criptografia ao ViewState em três frameworks de programação de aplicações web - Microsoft ASP.Net, Sun Mojarra e Apache MyFaces – pode permitir que cibercriminosos leiam dados armazenados em um servidor.
O ViewState é descrito como uma técnica que permite aos frameworks de aplicação web criar persistência em elementos visuais para manter uma aparência constante entre múltiplas páginas web.
"É possivel que um invasor leia dados armazenados em um servidor, e que não deveriam estar disponíveis para qualquer usuário, autorizado ou não", diz Byrne, que diz que haverá uma demonstração ao vivo do ataque (a Trustwave também vai oferecer uma ferramenta para ajudar os profissionais de segurança a identificar aplicações vulneráveis).
Byrne diz que o tipo de fraqueza estrutural a ser revelado pela Trustwave tem sido discutido em caráter hipotético, mas nunca foi demonstrado na prática, como será agora.
Controles
A solução é usar controles criptográficos baseados nas chaves de criptação que são incluídas nos três frameworks. "Nossa demonstração vai mostrar que sob nenhuma situação uma aplicação deveria ser oferecida na web sem essa segurança", diz Byrne.
Ele acrescenta que algumas vezes os desenvolvedores evitam usá-las por causa de questões de performance, ou simplesmente porque as desconhecem.
Diversas outras apresentações são esperadas, incluindo algumas que discutem novas técnicas para hacking de hardware, sistemas de câmeras de seguranças, e brechas do Internet Explorer, do Oracle 11g e do iPhone.
O pesquisador de segurança Matthieu Suiche promete analisar o uso da memória física pelo Mac OS X, com a demonstração de uma "fotografia instantânea" do estado da máquina em um momento específico.
Ricardo Lôvo diz:
Como eu gostaria de participar de uma conferência destas, é a miha praia, pena eu saber tão pouco...rs..
