Nova ameaça pode roubar cookies HTTPS

Nova ameaça pode roubar cookies HTTPS

por [Thomas Claburn/InformationWeek EUA]

A ferramenta baseada em Python colhe informações SSL inseguras e as grava, podendo roubar informações de login e senhas

Um ataque denominado CookieMonster está surge, e se você usa serviços baseados em web que envolvem credenciais de login, como webmail ou internet banking, é bom ficar atento. “O CookieMonster é uma ferramenta baseada em Python que colhe ativamente cookies HTTPS inseguros e os grava, além de cookies normais http para arquivos compatíveis com Firefox”, explica Mike Perry, pesquisador de segurança que criou o software. O próprio termo HTTPS supõe segurança, já que o S aplica-se a Secure Sockets Layer, ou SSL. Infelizmente, ocorre que muitos sites não configuram adequadamente a propriedade “apenas sessões encriptadas” de seus cookies. Tais sites acabam enviando cookies HTTPS sem proteção. Isto permite que os hackers possam conduzir ataques cruzados entre sites, para injetar dados maliciosos em qualquer página online que o usuário visitar, e então encontrar os cookies relacionados. Como os cookies HTTPS são cheios de informações de autenticação, podem ser usados para acessar contas de internet bankin, webmail e outras. “O aspecto mais importante deste tipo de ataque que a maioria das pessoas parece esquecer é a capacidade de se escolher arbitrariamente os cookies para uma lista de domínios inseguros de cada cliente IP em uma rede, mesmo quando o usuário não estiver acessando tais sites”, detalha Perry, em um post de seu blog. “O segundo ponto refere-se a como a ferramenta ainda é capaz de comprometer arbritariamente sites com SSL inseguras no caso comum sem a necessidade de prover uma lista de alvos”. Perry deixou o CookieMonster disponível para um grupo limitado de pesquisadores de segurança e planeja abri-la para o público em breve. Perry propõe o seguinte teste para ver se os sites que você usa são vulneráveis: “Para checar seus sites no Firefox, ‘Privacidade’ na janela de Preferências, e clique em ‘Mostrar Cookies’. Para determinado site, examine os cookies individuais para o nome principal do site e qualquer subdomínio, e se algum tiver ‘Envie para: somente conexões encriptadas’, apague-o. Depois, tente visitar seu site de novo. Se ele ainda te permite entrar, o site é inseguro e sua sessão pode ser roubada. Você deve avisar o responsável pelo site”. Ao tentar este procedimento com dois cookies do Google com o “Apenas conexões encriptadas”, o site parece ser vulnerável ao CookieMonster. Um representante do Google confirmou e disse que os engenheiros estão trabalhando com Perry para eliminar a brecha. “Usuários do Gmail preocupados com a questão podem se proteger ao ativar a opção ‘sempre http’ em suas contas”, adverte o representante do Google. “A correção que planejamos publicar em breve destina-se clientes que não ativaram esta preferência. Mas o Google não é o único vulnerável. Perry publicou uma lista de sites que parecem ter o mesmo problema.