Criptografia no ColdFusion

Em um recente thread sobre criptografia na lista CF-Brasil, fiz algumas considerações, e atendendo a pedidos (quanta modéstia!) posto aqui no blog.

A primeira coisa é ententender sobre qual tipo de criptografia estamos falando. Há a criptografia de dados que trafegam pela aplicação, em que utilizamos as funções Encrypt(), Decrypt() e Hash(). O ColdFusion 7 oferece uma variedade de algorítimos padrão de mercado e já consagrados como fortes, como TripleDES. A outra criptografia que pode ser abordada é do código da aplicação.

Leia o resto deste post »


CFMX 7 Sandbox Security para ambientes compartilhados

Está disponível para download a revisão (para a versão ColdFusion MX 7) do meu tutorial de configuração de sandbox security visando maior proteção para ambientes compartilhados.

Segurança do ColdFusion MX 7 em ambiente compartilhado – disponível em Flash Paper e Adobe PDF.

A idéia é ir incorporando dicas (como esta aqui, entre muitas outras) para tornar o documento uma espécie de “how-to” de ColdFusion MX em ambientes compartilhados. Espero que seja útil, façam bom uso!


Security Changes in ColdFusion MX 7

Excelente apresentação (via Breeze Live) de Sarge Sargent sobre mudanças em aspectos importantes para a segurança do ColdFusion MX 7. Sarge também repassa alguns conceitos importantes já existentes em versões anteriores à 7.

http://macromedia.breezecentral.com/p29094700/


Invasão no IIS6

Se você conseguir invadir um site que roda no IIS6, você poderá ganhar um XBox. Veja mais detalhes no site em questão.

Eu acho esse tipo de ação excelente! Mesmo que, na pior das hipóteses alguém ganhe o prêmio, isso é benéfico para todos, pois é uma vulnerabilidade que será corrigida.

via /.


Windows 2003 Server Service Pack 1 lançado (final)

Para quem usa Windows 2003, o primeiro (de uma série de 5 ou 6) service pack foi lançado pela Microsoft ontem:

Get Windows Server 2003 Service Pack 1

Ainda não testei em ambientes com ColdFusion, mas acho que não haverá grandes traumas, uma vez que o RC1 deste service pack roda sem problemas. Segundo a Microsoft, estas são as “top 10” razões para se instalar este SP1 (se bem que em se tratando de Microsoft, não precisa de muita razão ou convencimento para instalar qualquer coisa que aumente a segurança). Veja alguns detalhes específicos no que tange o IIS 6, neste link. O arquivo de download é uma bucha de nada mais, nada menos que 330 Mb…


“Não utilize passwords!”

A frase parece estúpida em primeira instância, mas se bem analisada, faz sentido.

Um cidadão que trabalha na Microsoft fez um post justamente sobre isso. E ele explica o porque de não utilizar passwords, mas sim passphrases. O post é antigo e rodou bastente por aí.

Uma frase qualquer como o título desse post atente aos requerimentos de complexidade de uma boa senha. Tem espaços, letras maísculas e minúsculas, etc. Pelo número de caracteres, é extremamente difícil de alguém descobrir utilizando brute-force.

As senhas do Windows 2000, por exemplo, suportam até 127 caracteres. O suficiente para escrever esse parágrafo.

Dentro seus argumentos, cita também que uma frase é mais fácil de lembrar do que uma senha que não faz sentido algum. É só ver o caso de empresas (principalmente nos Estados Unidos) que fornecem a seus clientes um número de telefone com letras. A Porto Seguro recentemente anunciou seu número assim. É mais fácil lembrar de 333-alguma-coisa ou 333-PORTO? Aliás, o Banco Bradesco já utiliza uma de suas senhas como frase.

“I’m not literally saying ‘just use sentences’ (…) The point I’m trying to make in this post that perhaps was not made was ‘go for length over short complexity’.”

Vale a pena a leitura. Principalmente para os que usam 1234abcd como senha.

A propósito, o ColdFusion Administrator aceita até 50 caracteres na senha. 🙂


Resposta da Macromedia

A Macromedia respondeu meu e-mail sobre os incidentes de segurança que eu comentei recentemente (aqui e aqui)


Hi Fabio,

Thank you very much for sending both of these issues our way – we really appreciate your effort in investigating the issues and in taking the time to notify us.

We’ve confirmed that both of these are valid issues on our end. We are
looking in to the best way to address them, and hope to get them resolved as soon as we can.

(…)

Thank you again,
-David Lenoe
Macromedia Product Security


Worm invade milhares de fóruns phpBB

A Web worm that identifies potential victims by searching Google is spreading among online bulletin boards using a vulnerable version of the program phpBB, security professionals said on Tuesday.

Verme Santy usa o Google para atacar sites PHP


Top 20 Vulnerabilities

O SANS Institute atualizou sua lista das 20 vulnerabilidades mais utilizadas. A lista contempla vulnerabilidades de sistemas Windows e Unix, bem como medidas de prevenção e correção.


Descobrindo a senha do ColdFusion Administrator (de novo)

Já postamos aqui uma ou mais maneiras de como descobrir a senha do ColdFusion Administrator, sempre no intuíto de alertar em como os servidores devem ser protegidos, tanto por quem desenvolve a aplicação quando por quem administra os servidores.

Também aqui no CFGIGOLÔ já foi dito sobre o perigo da função CreateObject() e da tag CFOBJECT, e agora não poderia ser diferente. Veja: o problema não é a existência desses dois recursos, mas permitir que esses dois recursos estejam habilitados em um ambiente compartilhado ou em um ambiente onde pessoas mal intencionadas possam ter acesso, como por exemplo, provedores de hospedagem espalhados aos montes por aí.

O código apresentado aqui, que é valido somente para a versão MX, foi divulgado ontem, por Eric Lackey, no site SecurityFocus. Tem como intenção demostrar como escrever uma classe java no diretório “lib” do ColdFusion e utilizá-la, por exemplo, para descobrir a senha do CF Administrator. Por tabela, demonstra também que em um servidor compartilhado sem o Sandbox configurado corretamente (essa é a parte importante desse post), você não está seguro. Exija que seu provedor de hospedagem configure e trate da segurança do seu servidor. O CFGIGOLÔ contém inúmeros posts a respeito. O Alex inclusive publicou um artigo sobre o assunto no ColdFusion Developer’s Journal no mês passado.

O código malicioso inclui métodos e funções para alter configurações importantes do servidor (como senhas e desabilitar o Sandbox Security) e outras. Se decidir executar e usar, o faça por sua conta e risco. Ninguém se responsabilizará por quaisquer danos.

Leia o resto deste post »