Avançar para o conteúdo principal
BlogueSegurançaPreste atenção aos seus subdomínios que não são de produção

Preste atenção aos subdomínios que não são de produção

Ilustração com o texto "Preste atenção aos seus subdomínios que não são de produção"

É comum que as equipas de segurança concentrem os seus melhores esforços no domínio de produção principal de uma organização. Afinal de contas, a aplicação que transporta mais tráfego para essa organização gera receitas. Os dados aí expostos são o maior alvo dos atacantes. Faz sentido que a proteção deste domínio seja o mais importante, mas não é tudo.

Se não está convencido, então está na altura de pensar um pouco como um atacante. O que é que se pode conseguir ao apontar para um alvo que é (à primeira vista) menos valioso? É possível que um alvo menor vulnerável o possa ajudar a fazer incursões para atingir o alvo principal?

Vamos descobrir.

Estratégia de ataque: Encontrar os pontos fracos

Quando se pensa em como entrar numa fortaleza bem defendida, nenhum atacante inteligente se dirigiria diretamente à porta da frente e tentaria derrubá-la. Esta não seria a sua única estratégia de ataque. Em vez disso, tentaria encontrar os pontos fracos das defesas.

A segurança Web não é diferente. Isso é especialmente verdadeiro no mundo da computação em nuvem, pois as organizações atuais estão aproveitando a portabilidade da nuvem para obter flexibilidade e escalonamento fácil. Por exemplo, com o Linode, é possível criar uma nova instância de um aplicativo com o simples clique de um botão.

No entanto, as conveniências da computação em nuvem precisam de ser acompanhadas por práticas seguras. Em vez de adicionar funcionalidades à aplicação principal, que tem toda a segurança necessária, algumas subequipas de engenharia podem achar mais fácil criar uma nova aplicação e implementá-la num subdomínio. Claro que estas sub-equipas não estão a tentar expor a sua organização a um ataque. No entanto, ao expandir a pegada web da organização com novas aplicações e subdomínios, estão a aumentar a superfície de ataque e a tornar mais difícil a segurança de todo o ambiente.

Não se esqueça também de que as instâncias de aplicações que não são de produção em subdomínios provavelmente precisam de comunicar com a aplicação principal ou, pelo menos, com o seu armazenamento de dados. É aqui que um atacante pode encontrar um caminho de um sistema menos seguro para um sistema mais seguro.

Estratégia de defesa: Conheça o seu perímetro

Voltemos à nossa metáfora da fortaleza. Uma das melhores formas de um atacante encontrar pontos fracos é explorar todo o perímetro do alvo. Assim, se estiver a pensar como um atacante, encontrar todos os pontos de ataque possíveis é um excelente primeiro passo para garantir que os sistemas estão bem protegidos.

Ferramentas como a Sublist3r foram concebidas para equipas de segurança e testadores de penetração. Ajudam-no a monitorizar o seu perímetro e a saber o que foi implementado. No entanto, um atacante também as pode utilizar para enumerar todos os subdomínios que estão a ser utilizados.

No entanto, o ponto de partida para a criação de defesas é monitorizar todos os acessos ao seu sistema.

Aprender com os erros dos outros

Recentemente, deparei-me com um exemplo perfeito deste tipo de situação num sítio que estava a analisar. A empresa tinha-se esforçado muito para garantir que o seu sítio principal estava bem defendido, protegido com TLS 1.3 e até certificado como compatível com PCI-DSS. Isso é muito trabalho!

Mas... eles também executavam um sistema de gestão de conteúdos num subdomínio que nem sequer estava protegido com SSL/HTTPS. 🤦🏻‍♂️ Todo o tráfego para este CMS - até mesmo a autenticação - estava a correr completamente às claras.

Até o Google Chrome sabe que isto é um problema e coloca o grande aviso "Not Secure" na barra de URL. Uma vez que se trata de uma página de início de sessão, o nome de utilizador e a palavra-passe serão transmitidos em texto simples através da rede. Qualquer atacante suficientemente motivado poderia obter isto interceptando o tráfego ao nível do ISP ou da rede. Depois, poderia utilizar essas credenciais para atacar outro sistema da mesma empresa. Quais são as hipóteses de algumas credenciais deste subdomínio serem reutilizadas noutras aplicações da mesma empresa? Eu diria que são bastante elevadas.

Em alternativa, o atacante pode obter acesso ao CMS e incorporar malware ou JavaScript malicioso na aplicação, expondo posteriormente os dados dos clientes quando os funcionários acedem a outros sistemas.

Foi feito um grande esforço para proteger a principal aplicação desta empresa, o seu orgulho e alegria. O portão da frente está fechado com guardas colocados em todo o lado. Entretanto, a porta das traseiras está aberta e ninguém está a vigiá-la.

Conclusão

A maioria das pessoas não acha que os domínios de subprodução sejam um risco enorme. "É a segurança através da obscuridade", dizem elas. Esperamos que este exemplo simples tenha deixado mais claro por que essa é uma estratégia de segurança ruim. Não importa o quão pequeno é o sistema ou a aplicação. Se a sua empresa a implementa, então ela precisa de fazer parte do seu foco de segurança.

Eis algumas medidas práticas que pode tomar hoje:

  1. Analise os seus domínios para criar um inventário de todos os subdomínios que estão atualmente a ser utilizados.
  2. Classifique cada subdomínio em função da facilidade de exploração e do impacto na sua atividade se for explorado.
  3. Implemente ferramentas de segurança para bloquear o subdomínio que é mais facilmente explorável e que mais afectaria a sua atividade.
  4. Vá descendo na lista à medida que tiver os recursos e a largura de banda para o fazer.

Não há problema em começar por proteger os seus subdomínios um pouco de cada vez. Isso é certamente melhor do que não fazer nada! Não deixe que a perfeição seja inimiga do bom. O importante é ter em mente que quaisquer soluções que tenha implementado na Internet introduzem um certo grau de risco. E onde quer que haja risco, deve prestar atenção à sua segurança. Os atacantes não precisam de tomar conta de toda a empresa para causar danos significativos, por isso, mesmo os sistemas não críticos merecem ser tratados com a seriedade que a sua empresa merece para uma saúde contínua.

Pensar como um atacante é um ótimo começo. Manter-se atento às vulnerabilidades e eliminar todos os locais onde alguém possa ganhar uma posição e ficar à espreita durante algum tempo antes de expandir o seu ataque é um grande passo para garantir que a sua empresa não se torna a próxima grande notícia sobre cibersegurança.

Para saber mais sobre segurança, confira a extensa biblioteca de documentos e guias relacionados à segurança da Linode.

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *