Avançar para o conteúdo principal
Ver todos os produtos
Calcular
Armazenamento
Trabalho em rede
Bases de dados
Serviços
Ferramentas do desenvolvedor
Indústrias
Preços
Comunidade
Envolva-se Conosco
Explorar Blog
Categorias
13
  1. Visão Geral da Nuvem
    51
  2. Calcular
    27
  3. Contentores (Kubernetes, Docker)
    35
  4. Bases de dados
    22
  5. Ferramentas do desenvolvedor
    43
  6. Linode
    263
  7. Linux
    69
  8. Multicloud
    4
  9. Trabalho em rede
    33
  10. Código Aberto
    6
  11. Rede Parceiro
    7
  12. Segurança
    64
  13. Armazenamento
    24
Autores 58
  1. Alex Leung 6
  2. Abe Massry 2
  3. Al Newkirk 1
  4. Alexander Newnham 2
  5. Andrew Sauber 1
  6. Andrew Stebbins 2
  7. Andy Stevens 5
  8. Ari Weil 1
  9. Bradley LaBoon 1
  10. Blair Lyon 9
  11. Billy Thompson 10
  12. Christopher Aker 175
  13. Cassie Bubnis 1
  14. Daniele Polencic 4
  15. David Monschein 2
  16. Dan Spataro 2
  17. Elvis Segura 1
  18. Gardiner Bryant 1
  19. Holden Morris 4
  20. Hillary Wilmoth 67
  21. Jim Ackley 6
  22. Jessica Capuano Mora 7
  23. Justin Cobbett 6
  24. Jon Frederickson 1
  25. Jorge Gaona 1
  26. Jonathan Hill 2
  27. Justin Mitchel 4
  28. James Steel 5
  29. Jamie Sherkness 8
  30. Linode 70
  31. Linode Events 8
  32. The Linode Security Team 122
  33. The Linode Network & Security Teams 1
  34. LINQ 1
  35. Leslie Salazar 1
  36. Michelle Berg 1
  37. Mitch Donaberger 1
  38. Mike Fischler 1
  39. Mike Maney 10
  40. Maddie Presland 20
  41. Mike Quatrani 4
  42. Nathan Melehan 2
  43. Nigel Poulton 1
  44. Philip McGuinness 1
  45. Prasoon Pushkar 1
  46. Peter Sari 1
  47. Rick Myers 7
  48. Richard Tubb 1
  49. Sal Carrasco 1
  50. Salman Iqbal 1
  51. Stuart Macleod 1
  52. Shawn Michels 1
  53. Linode Support 14
  54. Tom Asaro 18
  55. Travis Baka 2
  56. Talia Nassi 17
  57. Tim Vereecke 1
  58. Yuri Goldfeld 1
BlogueSegurançaPreste atenção aos seus subdomínios que não são de produção

Preste atenção aos subdomínios que não são de produção

Alex Leung
Alex Leung
17 de outubro de 2024
Ilustração com o texto "Preste atenção aos seus subdomínios que não são de produção"

É comum que as equipas de segurança concentrem os seus melhores esforços no domínio de produção principal de uma organização. Afinal de contas, a aplicação que transporta mais tráfego para essa organização gera receitas. Os dados aí expostos são o maior alvo dos atacantes. Faz sentido que a proteção deste domínio seja o mais importante, mas não é tudo.

Se não está convencido, então está na altura de pensar um pouco como um atacante. O que é que se pode conseguir ao apontar para um alvo que é (à primeira vista) menos valioso? É possível que um alvo menor vulnerável o possa ajudar a fazer incursões para atingir o alvo principal?

Vamos descobrir.

Estratégia de ataque: Encontrar os pontos fracos

Quando se pensa em como entrar numa fortaleza bem defendida, nenhum atacante inteligente se dirigiria diretamente à porta da frente e tentaria derrubá-la. Esta não seria a sua única estratégia de ataque. Em vez disso, tentaria encontrar os pontos fracos das defesas.

A segurança Web não é diferente. Isso é especialmente verdadeiro no mundo da computação em nuvem, pois as organizações atuais estão aproveitando a portabilidade da nuvem para obter flexibilidade e escalonamento fácil. Por exemplo, com o Linode, é possível criar uma nova instância de um aplicativo com o simples clique de um botão.

No entanto, as conveniências da computação em nuvem precisam de ser acompanhadas por práticas seguras. Em vez de adicionar funcionalidades à aplicação principal, que tem toda a segurança necessária, algumas subequipas de engenharia podem achar mais fácil criar uma nova aplicação e implementá-la num subdomínio. Claro que estas sub-equipas não estão a tentar expor a sua organização a um ataque. No entanto, ao expandir a pegada web da organização com novas aplicações e subdomínios, estão a aumentar a superfície de ataque e a tornar mais difícil a segurança de todo o ambiente.

Não se esqueça também de que as instâncias de aplicações que não são de produção em subdomínios provavelmente precisam de comunicar com a aplicação principal ou, pelo menos, com o seu armazenamento de dados. É aqui que um atacante pode encontrar um caminho de um sistema menos seguro para um sistema mais seguro.

Estratégia de defesa: Conheça o seu perímetro

Voltemos à nossa metáfora da fortaleza. Uma das melhores formas de um atacante encontrar pontos fracos é explorar todo o perímetro do alvo. Assim, se estiver a pensar como um atacante, encontrar todos os pontos de ataque possíveis é um excelente primeiro passo para garantir que os sistemas estão bem protegidos.

Ferramentas como a Sublist3r foram concebidas para equipas de segurança e testadores de penetração. Ajudam-no a monitorizar o seu perímetro e a saber o que foi implementado. No entanto, um atacante também as pode utilizar para enumerar todos os subdomínios que estão a ser utilizados.

No entanto, o ponto de partida para a criação de defesas é monitorizar todos os acessos ao seu sistema.

Aprender com os erros dos outros

Recentemente, deparei-me com um exemplo perfeito deste tipo de situação num sítio que estava a analisar. A empresa tinha-se esforçado muito para garantir que o seu sítio principal estava bem defendido, protegido com TLS 1.3 e até certificado como compatível com PCI-DSS. Isso é muito trabalho!

Mas... eles também executavam um sistema de gestão de conteúdos num subdomínio que nem sequer estava protegido com SSL/HTTPS. 🤦🏻‍♂️ Todo o tráfego para este CMS - até mesmo a autenticação - estava a correr completamente às claras.

Até o Google Chrome sabe que isto é um problema e coloca o grande aviso "Not Secure" na barra de URL. Uma vez que se trata de uma página de início de sessão, o nome de utilizador e a palavra-passe serão transmitidos em texto simples através da rede. Qualquer atacante suficientemente motivado poderia obter isto interceptando o tráfego ao nível do ISP ou da rede. Depois, poderia utilizar essas credenciais para atacar outro sistema da mesma empresa. Quais são as hipóteses de algumas credenciais deste subdomínio serem reutilizadas noutras aplicações da mesma empresa? Eu diria que são bastante elevadas.

Em alternativa, o atacante pode obter acesso ao CMS e incorporar malware ou JavaScript malicioso na aplicação, expondo posteriormente os dados dos clientes quando os funcionários acedem a outros sistemas.

Foi feito um grande esforço para proteger a principal aplicação desta empresa, o seu orgulho e alegria. O portão da frente está fechado com guardas colocados em todo o lado. Entretanto, a porta das traseiras está aberta e ninguém está a vigiá-la.

Conclusão

A maioria das pessoas não acha que os domínios de subprodução sejam um risco enorme. "É a segurança através da obscuridade", dizem elas. Esperamos que este exemplo simples tenha deixado mais claro por que essa é uma estratégia de segurança ruim. Não importa o quão pequeno é o sistema ou a aplicação. Se a sua empresa a implementa, então ela precisa de fazer parte do seu foco de segurança.

Eis algumas medidas práticas que pode tomar hoje:

  1. Analise os seus domínios para criar um inventário de todos os subdomínios que estão atualmente a ser utilizados.
  2. Classifique cada subdomínio em função da facilidade de exploração e do impacto na sua atividade se for explorado.
  3. Implemente ferramentas de segurança para bloquear o subdomínio que é mais facilmente explorável e que mais afectaria a sua atividade.
  4. Vá descendo na lista à medida que tiver os recursos e a largura de banda para o fazer.

Não há problema em começar por proteger os seus subdomínios um pouco de cada vez. Isso é certamente melhor do que não fazer nada! Não deixe que a perfeição seja inimiga do bom. O importante é ter em mente que quaisquer soluções que tenha implementado na Internet introduzem um certo grau de risco. E onde quer que haja risco, deve prestar atenção à sua segurança. Os atacantes não precisam de tomar conta de toda a empresa para causar danos significativos, por isso, mesmo os sistemas não críticos merecem ser tratados com a seriedade que a sua empresa merece para uma saúde contínua.

Pensar como um atacante é um ótimo começo. Manter-se atento às vulnerabilidades e eliminar todos os locais onde alguém possa ganhar uma posição e ficar à espreita durante algum tempo antes de expandir o seu ataque é um grande passo para garantir que a sua empresa não se torna a próxima grande notícia sobre cibersegurança.

Para saber mais sobre segurança, confira a extensa biblioteca de documentos e guias relacionados à segurança da Linode.

Você também pode gostar...

Uma ilustração que mostra um cronómetro e um escudo com uma marca de verificação com o texto "Cortar a latência, não a segurança"
Philip McGuinness

Reduzir a latência, não a segurança

3 de outubro de 2024
por Philip McGuinness
A Política de Segurança de Conteúdos (CSP) é uma funcionalidade de segurança implementada nos navegadores para proteger os sítios Web e as aplicações Web contra ataques.
Segurança

A empresa alimentada pela nuvem: Proteger a nuvem

A pedido
20 de setembro de 2024
Explore as mais recentes estratégias e tecnologias para a segurança na nuvem, incluindo a gestão da identidade e do acesso, a encriptação de dados, a deteção de ameaças e a gestão da postura de segurança dos dados com especialistas das principais empresas de segurança na nuvem.
Segurança
Alex Leung

Inútil pode não ser inofensivo: A história de uma página de login com uma pergunta de segurança em branco

17 de setembro de 2024
por Alex Leung
Descubra como os atacantes exploram as vulnerabilidades de segurança nas páginas de início de sessão e saiba como proteger as suas aplicações Web com as melhores práticas.
Segurança

Comentários

Deixe uma resposta

O seu endereço de correio electrónico não será publicado. Os campos obrigatórios estão marcados com *