Revelação Responsável – Ruby of Security

Nosso Lab sempre tem artigos sobre questões de segurança que afetam muitas instituições públicas e privadas. Um dos pontos que sempre destacamos é a necessidade de cooperação entre a comunidade de segurança, pois não se conhecem e não se resolvem todos os problemas sozinhos. Por isso o Lab sempre se dispõe a compartilhar a informação que produz em seus artigos.

Hoje faremos uma publicação sobre problemas de segurança que nós vivenciamos e que nos foram reportadas pela equipe de segurança cibernética Ruby of Security, formada por Supremo, Sr.Panda, Tio Dark e Mr.Cyber.

O Ruby of Security nos contatou para relatar algumas falhas de segurança no site do Lab e que gostaria de contribuir na correção dos problemas identificados. Eles executaram um teste de intrusão no nosso site e basicamente foram encontradas quatro vulnerabilidades mais relevantes:

  1. Possibilidade de enumeração de nomes de usuários;
  2. Possibilidade de enumeração de componentes do WordPress e identificação de suas respectivas versões; 
  3. Cookies sem a restrição HttpOnly; e
  4. Possibilidade de Clickjacking.

Das quatro vulnerabilidades, a referente ao HttpOnly é a de maior severidade, podendo ser classificada como de risco moderado. Cookies sem a restrição HttpOnly permitem que o navegador autorize o javascript a ler o cookie. Nesse caso, uma vez presente outras vulnerabilidades como validação fraca de sessão e o XSS (Cross-Site Scripting), um agente malicioso pode injetar arbitrariamente código javascript na aplicação que, ao ser acionada no navegador da vítima, pode permitir o sequestro da sessão (session hijacking) do usuário autenticado na aplicação.

Essa foi uma demonstração de como uma equipe de segurança cibernética deve conduzir um processo de revelação responsável e de como a cooperação pode contribuir para o efetivo robustecimento das camadas de segurança implementadas e correções de vulnerabilidades.

Há uma série de documentos sobre o assunto, um guideline holandês, do OWASP, do Department of Justica dos EUA, entre outros. Estamos certos de que o Ruby of Security esteve aderente a essas melhores práticas da responsible disclousure.

 O DefCon Lab gostaria de agradecer publicamente pela contribuição da equipe do Ruby of Security, aproveitando para enfatizar a competência técnica da equipe envolvida no processo de identificação, além da lucidez na comunicação e correção dos problemas.

A equipe possui uma página própria (rubysec.blogspot.com.br) e canais no YouTube (Ruby Of Security), Telegram (t.me/rubyofsec), WhatsApp (chat.whatsapp.com/4imWZudiwE990OUGVpyfNF) e DiscordApp (discord.gg/YrHQ57s) onde frequentemente divulgam notícias e pesquisas que realizam. Além disso, há uma seção de cursos e tutoriais para os que desejam ampliar conhecimento de segurança cibernética.