Avaliando o custo de um ataque DDoS
O Gabinete do Comissário de Informação (ICO) foi finalmente corrigido um bug de segurança em seu site - cinco anos após ter sido notificado pela primeira vez ao cão de guarda de privacidade de dados.
Consultor de TI Paul Moore primeiro advertiu a OIC sobre um problema de cross site scripting (XSS) no seu site em 2009. A falha significava que era possível introduzir conteúdo arbitrário sob o controle de hackers enquanto apresentando-a como se tivesse originado a partir do site do ICO, abrindo a porta para truques que podem ser usados para dar falsa autenticidade a todos os tipos de potenciais fraudes.
Moore blog sobre o assunto e outros problemas relacionados, envolvendo a OIC em 2012 .
A OIC está para promover as melhores práticas em segurança de dados, de modo que a alegação de que ele não estava conseguindo manter a sua própria casa em ordem era bem a pena investigar. El Reg pediu duas organizações de teste de penetração de um parecer sobre o aviso do Moore.
Uma dessas empresas, Pen Partners teste, foi capaz de confirmar falhas de segurança não críticos, mas ainda incômodos com o site da OIC.
"O <e> não estão sendo devidamente escapou / codificado pela aplicação, por isso permite cross site scripting reflexivo para executar", explicou Ken Munro, sócio sênior da Pen Partners Teste.
"No entanto, esta não é uma questão desesperadamente sério. Um tem que seguir um link para o site. Aceito que um link para o ICO seria mais provável de ser clicado do que qualquer URL de idade, mas ainda requer interação do usuário", , acrescentou.
Munro concluiu que o site da OIC era vulnerável a um XSS refletido, uma falha notável, mas menos grave do que um bug XSS persistente.
Armado com estes resultados El Reg pediu um comentário a partir da OIC. Em resposta, o cão de guarda de privacidade de dados admitiu que havia um pequeno problema com o campo de busca em seu site enquanto estiver jogando para baixo o significado da falha e tergiversações com o momento da emissão. A OIC acrescentou que fixou o bug de qualquer maneira, algo que Moore confirmou mesmo antes recebemos comunicado da OIC.
Como qualquer organização responsável adotamos uma abordagem baseada no risco para a segurança, a adoção de controles e contramedidas proporcionais ao impacto de qualquer compromisso e as ameaças que estamos expostos. Para garantir que este objectivo seja cumprido realizamos testes regulares de nossos sistemas para garantir que a segurança da informação processada é mantida.Tendo considerado os dados fornecidos a nós abordamos uma questão menor relativa a um campo de pesquisa em nosso site. Esta questão não teria sido presente quando o blog que você se refere foi escrito, porque a tecnologia de busca usado agora não foi introduzido até uma data posterior. Estamos satisfeitos que as outras questões identificadas no blog não pode ser replicado.
Nós fornecemos um site voltado para público que não contém informações confidenciais. Estamos confiantes de que a integridade do nosso site foi mantida e que não há dados da OIC foi comprometida.
Munro observou que outros problemas de XSS tinha surgiram no site da OIC no passado (como registrado por xssed.org aqui ).
"O site da OIC tem medidas anti-XSS em muitos lugares, mas não todos. Eles claramente perdeu algum", acrescentou Munro.
XSS é uma classe por demais comum de vulnerabilidade de segurança web. Para que um ataque XSS para ser bem sucedido, a vítima deve ser levado a seguir um link através de alguma forma de phishing, ou seja, alguma interação do usuário é necessária.
Moore estava em um amplo acordo com a avaliação de Munro, enquanto discutindo alguns detalhes.
"Ken [Munro] está certo em tanta como ataques refletidos requerem engenharia social para o trabalho, mas em termos de potencial de dano, não há realmente nenhuma diferença", explicou Moore. "Os ataques de engenharia social são usados para seqüestrar domínios, furtar dados, servidores de acesso (acho que WHMCS há alguns anos) - não há, obviamente, um risco tangível lá. "
"Para piorar a situação, a OIC tem muito recentemente multado BPAS £ 200.000 por não manter seu site seguro. Na minha opinião, eles estão em posição de comentar sobre a segurança de outros sites terem sido vulnerável desde 2009 ", acrescentou .
Moore continua a ser altamente crítica da abordagem geral da OIC para a segurança web.
"Para uma autoridade encarregada de defender e fazer cumprir a privacidade dos dados, a metodologia de melhores práticas e de abertura, estou surpreso com sua falta de ação mitigadoras e atitude indiferente", disse Moore.
"O site da OIC mudou consideravelmente desde 2009, isso é verdade. No entanto, a explorar ea sua incompreensão do risco permanece inalterado. Se é possível alterar o conteúdo mostrado sob o domínio ICO genuína remotamente, um atacante pode aproveitar a confiança associada a esse domínio. O site não pode conter informações confidenciais, mas pode ser facilmente alterada para coletá-lo de usuários desavisados ", acrescentou. ®
via Alimentação (Feed)
Nenhum comentário:
Postar um comentário