Quão segura é sua seção de comentários? Descubra como um comentário de agradecimento aparentemente inocente na página de um produto escondia uma vulnerabilidade maliciosa, ressaltando a necessidade de medidas de segurança robustas. Leia o estudo de caso completo da vida actual aqui.
Quando um 'Obrigado' não é um 'Obrigado'? Quando é um código furtivo escondido dentro de uma imagem de agradecimento que alguém postou na seção de comentários da página de um produto! O segredo oculto escondido neste código específico foi projetado para permitir que hackers contornassem os controles de segurança e roubassem informações de identificação pessoal de compradores on-line, o que poderia significar grandes problemas para eles e para a empresa.
A página em questão pertence a um varejista international. As comunidades de usuários costumam ser uma ótima fonte de conselhos imparciais de outros entusiastas, e foi por isso que o proprietário de uma câmera Nikon postou lá. Eles estavam procurando a lente superb de 50 mm e pediram uma recomendação. Eles agradeceram antecipadamente a quem se desse ao trabalho de responder e até deixaram uma pequena imagem que dizia: “Obrigado” também, e a olho nu parecia bom.
O comentário e a imagem permaneceram no website por três anos(!), mas quando a empresa começou a usar a solução contínua de gerenciamento de ameaças na Net da Reflectiz, uma empresa líder em segurança na Net, detectou algo preocupante neste gráfico de aparência inocente durante um monitoramento de rotina. Varredura. Neste artigo, damos uma visão geral do que aconteceu, mas se preferir uma explicação mais profunda, juntamente com mais detalhes sobre como proteger suas próprias páginas de comentários, você pode baixar o estudo de caso completo e aprofundado aqui.
Imagens alteradas
Uma das melhores coisas da internet é o fato de que você pode compartilhar imagens facilmente, mas como um ser humano que olha centenas delas todos os dias, é fácil esquecer que cada uma delas é composta de código, assim como qualquer outro ativo digital no uma página da internet. Sendo esse o caso, os agentes maliciosos muitas vezes tentam esconder o seu próprio código dentro deles, o que nos leva à prática da esteganografia. Este é o termo para esconder uma informação dentro de outra. Não é o mesmo que criptografia, que transforma mensagens em algo sem sentido para que não possam ser compreendidas. Em vez disso, a esteganografia esconde dados à vista de todos, neste caso, dentro de uma imagem.
Anatomia de um Pixel
Você deve estar ciente de que os monitores de computador exibem imagens usando um mosaico de pontos chamados pixels e que cada pixel pode emitir uma mistura de luz vermelha, verde e azul. A intensidade de cada cor em um desses pixels RGB é determinada por um valor entre 0 e 255, então 255,0,0 nos dá o vermelho, 0,255,0 nos dá o verde e assim por diante.
255,0,0 é o vermelho mais forte que a tela pode exibir e, embora 254,0,0 seja um pouco menos forte, pareceria exatamente igual ao olho humano. Ao fazer muitas dessas pequenas alterações nos valores dos pixels selecionados, os agentes mal-intencionados podem ocultar o código à vista de todos. Ao alterar um número suficiente deles, eles podem criar uma sequência de valores que um computador pode ler como código e, no caso daquele postado na seção de comentários do varejista de fotografia, a imagem alterada continha instruções ocultas e o endereço de um domínio comprometido. Foi uma surpresa descobrir que o JavaScript da página estava usando informações ocultas para se comunicar com ela.
Consequências
O grande problema para qualquer pessoa que opere um website de comércio eletrônico é que atores mal-intencionados estão sempre em busca de oportunidades para roubar informações de identificação pessoal e detalhes de cartões de pagamento de clientes, e a alteração de arquivos de imagem é apenas um dos muitos métodos possíveis que eles usam. Os legisladores num número crescente de territórios, bem como os legisladores em áreas como a indústria dos cartões de pagamento, responderam implementando quadros regulamentares detalhados que impõem requisitos de segurança rigorosos aos fornecedores, juntamente com multas pesadas caso estes falhem.
O GDPR exige que qualquer pessoa que venda para clientes da União Europeia siga sua estrutura ampla e detalhada. Sempre que um retalhista de comércio eletrónico sucumbe à esteganografia ou a qualquer outro tipo de ataque que comprometa as informações dos clientes, pode atrair multas de milhões de dólares, desencadear ações judiciais coletivas e criar má publicidade que leva a danos à reputação. É por isso que é tão importante entender como defender seu website contra tais ataques, como explica o estudo de caso completo.
Proteção Contínua
O estudo de caso aprofunda como essa ameaça foi descoberta e controlada, mas a breve explicação é que a tecnologia de monitoramento da plataforma detectou atividades suspeitas em um componente da internet e, em seguida, cruzou certos detalhes com seu extenso banco de dados de ameaças.
O sistema identifica e bloqueia rotineiramente quaisquer componentes da internet de terceiros que rastreiam a atividade do usuário sem sua permissão. Ele detecta quais componentes de terceiros obtêm as permissões de localização geográfica, câmera e microfone dos usuários sem seu consentimento e mapeia todos os componentes da internet que podem acessar informações confidenciais.
Nesse caso, os especialistas em segurança humana da Reflectiz alertaram a empresa sobre a vulnerabilidade, deram à sua equipe de segurança medidas claras de mitigação e investigaram o código suspeito para entender como os invasores conseguiram colocá-lo ali. Você pode ler sobre suas descobertas aqui, no estudo de caso completo, bem como saber quais etapas de segurança priorizar para evitar que o mesmo aconteça com suas próprias páginas de comentários.
