Scribd Logo
Fazer o upload

Bem-vindo(a) ao Scribd!

  • Aegis: Um Modelo de Proteção À Dados Sensíveis em Ambientes Client-Side (Apresentação)

    Enviado por

    Vinicius Cardoso Garcia
    108 visualizações75 páginas
    Trabalho apresentado ao Programa de Pós-graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial para obtenção do grau de Mestre em Ciência da Computação. Resumo: Os Navegadores Web, do inglês, Web Browsers, são ferramentas de extrema importância no que diz respeito ao consumo de informações na internet, consequentemente são os softwares dos quais os usuários utilizam a maior parte do tempo, sejam domésticos ou corporativos. Com o passar dos anos, a forma do que estava sendo publicado na web foi evoluindo, o que antes era estático e apenas leitura, agora se apresenta como um cenário onde os internautas e serviços interagem, compartilhando informações em uma grande variedade de cenários, como e-mail, redes sociais e comércio eletrônico, tornando-se então em um ambiente dinâmico e colaborativo. Em meio ao advento da web, foram surgindo possibilidades para prestadores de serviços especializados, como bancos ou fontes pagadoras de transações comerciais, dos quais através da internet encontraram oportunidades para disponibilizarem seus serviços com alta disponibilidade, possibilitando que seus clientes consigam utilizar seus serviços através de um browser. O resultado disso é uma série de benefícios, como redução de filas, interatividade, foco no domínio, que podemos traduzir em uma palavra: comodidade. Não obstante, em consequência ao seu advento, a web se apresenta como um ambiente cada vez mais hostil, onde pessoas mal-intencionadas executam crimes cibernéticos, dos quais visam roubar ou adulterar informações sigilosas dos usuários da web, violando os dados do usuários. Essas atividade ilícitas muitas vezes são executadas através de ataques que exploram fatores como Engenharia Social, Falhas nas Aplicações Web ou Vulnerabilidades no Browser do usuário. Estes vetores de ataques apresentam-se em diversas formas: capturando entradas dos usuários, forjando sites oficiais, injeção de scripts maliciosos, propagação de Malwares, entre outros. Com o dinamismo da web, o processo de controle destes vetores de ataque torna-se cada vez mais difícil, e como a tendência da web é manter-se em constante evolução, estas ameaças tornam-se uma preocupação contínua. Nesta pesquisa é proposta uma ferramenta, intitulada Aegis, como modelo de proteção para interagir diretamente no browser do usuário, buscando minimizar os ataques mencionados através de uma solução puramente cliente-side. Para isso, foram realizados estudos e revisão na literatura sobre o tema, buscando uma justificativa bem fundamenta para as decisões e técnicas aplicadas. Adicionalmente, são apresentados os resultados obtidos na avaliação da Aegis em conjunto com demais ferramentas relacionadas. Palavras-chave: Segurança da Informação, Vulnerabilidades em Aplicações Web, Vulnerabilidades em Navegadores Web, Proteção à Fraudes.

    Título original

    Aegis: Um Modelo de Proteção à Dados Sensíveis em Ambientes Client-Side (Apresentação)

    Direitos autorais

    © Attribution Non-Commercial ShareAlike (BY-NC-SA)

    Formatos disponíveis

    PPTX, PDF, TXT ou leia online no Scribd

    Você considera este documento útil?

    Este conteúdo é inapropriado?

    Denunciar este documento
    Trabalho apresentado ao Programa de Pós-graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial para obtenção do grau de Mestre em Ciência da Computação. Resumo: Os Navegadores Web, do inglês, Web Browsers, são ferramentas de extrema importância no que diz respeito ao consumo de informações na internet, consequentemente são os softwares dos quais os usuários utilizam a maior parte do tempo, sejam domésticos ou corporativos. Com o passar dos anos, a forma do que estava sendo publicado na web foi evoluindo, o que antes era estático e apenas leitura, agora se apresenta como um cenário onde os internautas e serviços interagem, compartilhando informações em uma grande variedade de cenários, como e-mail, redes sociais e comércio eletrônico, tornando-se então em um ambiente dinâmico e colaborativo. Em meio ao advento da web, foram surgindo possibilidades para prestadores de serviços especializados, como bancos ou fontes pagadoras de transações comerciais, dos quais através da internet encontraram oportunidades para disponibilizarem seus serviços com alta disponibilidade, possibilitando que seus clientes consigam utilizar seus serviços através de um browser. O resultado disso é uma série de benefícios, como redução de filas, interatividade, foco no domínio, que podemos traduzir em uma palavra: comodidade. Não obstante, em consequência ao seu advento, a web se apresenta como um ambiente cada vez mais hostil, onde pessoas mal-intencionadas executam crimes cibernéticos, dos quais visam roubar ou adulterar informações sigilosas dos usuários da web, violando os dados do usuários. Essas atividade ilícitas muitas vezes são executadas através de ataques que exploram fatores como Engenharia Social, Falhas nas Aplicações Web ou Vulnerabilidades no Browser do usuário. Estes vetores de ataques apresentam-se em diversas formas: capturando entradas dos usuários, forjando sites oficiais, injeção de scripts maliciosos, propagação de Malwares, entre outros. Com o dinamismo da web, o processo de controle destes vetores de ataque torna-se cada vez mais difícil, e como a tendência da web é manter-se em constante evolução, estas ameaças tornam-se uma preocupação contínua. Nesta pesquisa é proposta uma ferramenta, intitulada Aegis, como modelo de proteção para interagir diretamente no browser do usuário, buscando minimizar os ataques mencionados através de uma solução puramente cliente-side. Para isso, foram realizados estudos e revisão na literatura sobre o tema, buscando uma justificativa bem fundamenta para as decisões e técnicas aplicadas. Adicionalmente, são apresentados os resultados obtidos na avaliação da Aegis em conjunto com demais ferramentas relacionadas. Palavras-chave: Segurança da Informação, Vulnerabilidades em Aplicações Web, Vulnerabilidades em Navegadores Web, Proteção à Fraudes.

    Direitos autorais:

    Attribution Non-Commercial ShareAlike (BY-NC-SA)
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    108 visualizações75 páginas

    Aegis: Um Modelo de Proteção À Dados Sensíveis em Ambientes Client-Side (Apresentação)

    Enviado por

    Vinicius Cardoso Garcia
    Trabalho apresentado ao Programa de Pós-graduação em Ciência da Computação do Centro de Informática da Universidade Federal de Pernambuco como requisito parcial para obtenção do grau de Mestre em Ciência da Computação. Resumo: Os Navegadores Web, do inglês, Web Browsers, são ferramentas de extrema importância no que diz respeito ao consumo de informações na internet, consequentemente são os softwares dos quais os usuários utilizam a maior parte do tempo, sejam domésticos ou corporativos. Com o passar dos anos, a forma do que estava sendo publicado na web foi evoluindo, o que antes era estático e apenas leitura, agora se apresenta como um cenário onde os internautas e serviços interagem, compartilhando informações em uma grande variedade de cenários, como e-mail, redes sociais e comércio eletrônico, tornando-se então em um ambiente dinâmico e colaborativo. Em meio ao advento da web, foram surgindo possibilidades para prestadores de serviços especializados, como bancos ou fontes pagadoras de transações comerciais, dos quais através da internet encontraram oportunidades para disponibilizarem seus serviços com alta disponibilidade, possibilitando que seus clientes consigam utilizar seus serviços através de um browser. O resultado disso é uma série de benefícios, como redução de filas, interatividade, foco no domínio, que podemos traduzir em uma palavra: comodidade. Não obstante, em consequência ao seu advento, a web se apresenta como um ambiente cada vez mais hostil, onde pessoas mal-intencionadas executam crimes cibernéticos, dos quais visam roubar ou adulterar informações sigilosas dos usuários da web, violando os dados do usuários. Essas atividade ilícitas muitas vezes são executadas através de ataques que exploram fatores como Engenharia Social, Falhas nas Aplicações Web ou Vulnerabilidades no Browser do usuário. Estes vetores de ataques apresentam-se em diversas formas: capturando entradas dos usuários, forjando sites oficiais, injeção de scripts maliciosos, propagação de Malwares, entre outros. Com o dinamismo da web, o processo de controle destes vetores de ataque torna-se cada vez mais difícil, e como a tendência da web é manter-se em constante evolução, estas ameaças tornam-se uma preocupação contínua. Nesta pesquisa é proposta uma ferramenta, intitulada Aegis, como modelo de proteção para interagir diretamente no browser do usuário, buscando minimizar os ataques mencionados através de uma solução puramente cliente-side. Para isso, foram realizados estudos e revisão na literatura sobre o tema, buscando uma justificativa bem fundamenta para as decisões e técnicas aplicadas. Adicionalmente, são apresentados os resultados obtidos na avaliação da Aegis em conjunto com demais ferramentas relacionadas. Palavras-chave: Segurança da Informação, Vulnerabilidades em Aplicações Web, Vulnerabilidades em Navegadores Web, Proteção à Fraudes.

    Direitos autorais:

    Attribution Non-Commercial ShareAlike (BY-NC-SA)
    Baixe no formato PPTX, PDF, TXT ou leia online no Scribd
    Sinalizar o conteúdo como inadequado
    de 75

    Aegis: Um Modelo de

    Proteo Dados Sensveis


    em Ambientes Client-Side
    Aluno: Carlo Marcelo Revoredo da Silva
    (cmrs@cin.ufpe.br)
    Orientador: Vinicius Cardoso Garcia
    (vcg@cin.ufpe.br)
    25 de Fevereiro de 2014

    CIn.ufpe.br

    Agenda
    1.
    2.
    3.
    4.
    5.
    6.
    7.

    Motivao;
    Definio do Problema;
    Objetivos Gerais e Especficos;
    Reviso Sistemtica da Literatura;
    Abordagem da Proposta
    Avaliao
    Concluso

    CIn.ufpe.br

    1. Motivao

    CIn.ufpe.br

    Motivao
    O Advento da Web [Mashable, 2013]

    CIn.ufpe.br

    Motivao
    Os Navegadores Web

    CIn.ufpe.br

    Motivao
    Navegador Web: Grandes Poderes, Grandes Responsabilidades

    Arquitetura de um Navegador Web [Adaptado de HTML5Rocks, 2011]


    6

    CIn.ufpe.br

    Motivao
    A popularidade dos Navegadores Web
    [W3Schools, 2013]

    CIn.ufpe.br

    Motivao
    As Oportunidades Oferecidas

    CIn.ufpe.br

    2. Definio do Problema

    CIn.ufpe.br

    Definio do Problema
    Violao de Dados Sensveis
    Violao de Dados
    Roubo ou perda acidental de dados
    sensveis
    Dados Sensveis
    Dados que possuem seu acesso restrito
    pessoas autorizadas
    [Allen, 2001]
    10

    CIn.ufpe.br

    Definio do Problema
    Vetores de Ataques na Web
    Mtodos que um usurio malicioso utiliza para
    atacar uma determinada aplicao ou servio web;

    Ataques baseados na Web


    Qualquer ataque realizado por uma aplicao ou
    pessoa, seja de forma proposital (Maliciosa) ou no
    intencional (sob Vulnerabilidades), contra uma
    aplicao cliente, e que resulta em algum tipo de
    Ameaa.
    Ameaa
    Qualquer evento, circunstncia ou pessoa que possa
    causar danos, exemplo da Violao de Dados
    Sensveis.

    [SANS/MITRE , 2011]
    11

    CIn.ufpe.br

    Definio do Problema
    Vulnerabilidad
    es em
    Aplicaes
    Web

    Vulnerabilida
    des no
    Navegador
    Web

    Dad
    o

    Client-side

    Navegad
    or Web
    Dad
    o
    Servio
    A

    Engenharia
    Social

    Dad
    o

    Dad
    o

    Navegad
    or Web
    Server-Side
    Servio
    1
    Dad
    o
    Servio
    2

    Dad
    o
    Servio
    B

    Servio
    B
    Forjado

    12

    CIn.ufpe.br

    3. Objetivos

    13

    CIn.ufpe.br

    Objetivo Geral
    Propor a elaborao de um mecanismo que
    minimize
    os
    vetores
    de
    ataques
    relacionados Violao de Dados Sensveis
    em ambientes Client-Side;

    14

    CIn.ufpe.br

    Objetivos Especficos
    Elaborar uma Reviso Sistemtica da Literatura
    (RSL) a fim de discutir o estado atual das principais
    tcnicas de ataque e defesa dos principais vetores
    Client-Side;
    Apresentar uma Proposta com base nos resultados
    da RSL que auxilie o navegador web a oferecer
    maior segurana ao usurio sobre a tica de
    violao de dados sensveis;
    Realizar uma avaliao da Proposta em conjunto
    com trabalhos relacionados e discutir os resultados
    obtidos;
    CIn.ufpe.br
    15

    Fora do Escopo
    Ataques que envolvam consequncias de
    disponibilidade
    Denial of Service;
    Buffer Overflow;

    Solues que envolvam boas prticas de


    implementao
    Metodologias de Desenvolvimento Seguro;
    Anlise de Cdigo Fonte (Testes de Caixa Branca);
    Componentes
    aplicveis

    nvel
    de
    implementao
    16

    CIn.ufpe.br

    4. Reviso Sistemtica da Literatura

    17

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Contextualizao da Pesquisa

    18

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Classificao das Causas (Ameaas),


    Vetores e Ataques

    19

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Resultado da Triagem

    20

    CIn.ufpe.br

    Reviso Sistemtica da Literatura


    Principais Tcnicas de Ataque e Defesa
    A1 (XSS)
    Tcnicas de Ataque: Forma direta [MITRE 2013]; Evaso de Filtro
    [OWASP, 2013]
    Tcnicas de Defesa: Anlise esttica [Wassermann, 2008]; Padres de
    comportamento [Bates et al, 2010]; Proxy Reverso [Kirda et al, 2006];
    Preveno Evaso nos Filtros [Venkatakrishnan et al 2010]; Data
    Flow Analysis [Nentwich, 2007]

    A2 (SQLi)
    Tcnicas de Ataque: Manipulao em parmetros (GET ou POST)
    [MITRE, 2011] [OWASP,2013]
    Tcnicas de Defesa: Idem XSS [Fu et al, 2007];

    A3 (Clickjacking)
    Tcnicas de Ataque: Sobreposio em elementos na tela; Manipulao
    de Frames; [SANS/MITRE, 2011]
    Tcnicas de Defesa: diretivas de segurana atravs de cabealhos
    HTTP (CSP [W3C, 2012], X-FRAME-OPTIONS [Rydstedt et al, 2010]);
    21 CIn.ufpe.br

    Reviso Sistemtica da Literatura


    Principais Tcnicas de Ataque e Defesa
    A4 (Redirecionamentos e Encaminhamentos
    Invlidos)
    Ataque:
    Encaminhamentos: Links para Phishing ou Malwares;
    Redirecionamentos: http://www.aplicacao.com/login?
    redirect=http://www.evil.com [CERT, 2008]

    Defesa:
    Confiabilidade no Domnio (www.bb.com.br => www.bb.b.br);
    Restrio atravs de BlackList ou WhiteList; [CERT, 2008]

    A5 (Complementos Maliciosos)
    Ataque: Atravs de plug-ins; Atravs de Extenses;
    [TRENDMicro, 2013]
    Defesa: Polticas de restries de complementos de
    terceiros; [Guha et al, 2011]
    22

    CIn.ufpe.br

    Reviso Sistemtica da Literatura


    Principais Tcnicas de Ataque e Defesa
    A6 (Exposio de Dados Sensveis)
    Ataque: Ausncia ou falhas nas polticas de segurana da
    aplicao
    Criptografia, gesto das sesses, brechas para Man-in-The-Middle;
    [OWASP, 2013]
    Armazenamentos Inapropriados; [HTML5Sec, 2013]

    Defesa: Camadas de Trfego seguro [Jackson et al, 2008];


    Conformidades [US Govermment, 2010];

    A7 (Utilizao de Compl. Com Vulnerabilidades)


    Ataque: Vulnerabilidades em Complementos nativos do
    navegador; Vulnerabilidades em complementos de terceiros;
    ZeroDay; [SANS/MITRE, 2011]
    Defesa: Bloqueio de Recursos depreciados; Atualizaes
    peridicas do navegador; Atualizaes peridicas dos
    complementos de terceiros [Florian, 2012];
    23

    CIn.ufpe.br

    Reviso Sistemtica da Literatura


    Principais Tcnicas de Ataque e Defesa
    A8 (CSRF)
    Ataque: Manipulao em parmetros (GET e POST)
    [OWASP, 2013]
    Defesa: Atravs de elementos persistentes na aplicao
    (Injeo de CSRF persistente: <img>, <iframe>, etc...)
    [Wang, 2013]

    A9 (Falhas nas PMO)


    Ataque: Explorando XmlHttpRequest; API ou Mashups
    no confiveis [Ben-Itzhak, 2013], Exposio de Cookies
    entre domnios [Lundeen, 2013];
    Defesa:
    Diretivas de segurana atravs de cabealhos HTTP;
    [Gentile, 2013]
    Cross-Origin Resource Sharing (CORS); [W3C, 2013]
    24

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Combinao de Vetores x Ataques

    25

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Principais Grupos de Pesquisa e


    Trabalhos Correlatos
    Bina et al;
    Primeira publicao (1994);

    Jackson et al;
    13 publicaes;

    Kirda et al;
    5 publicaes;

    Gajek et al; & Heiderich et al;


    11 publicaes;

    Piessens et al;
    13 publicaes;

    26

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Consideraes Finais
    Proteo Client-Side em considervel projeo
    de crescimento;

    17
    71

    Cronologia das publicaes (225)

    137

    27

    CIn.ufpe.br

    Reviso Sistemtica da Literatura

    Consideraes Finais
    Considervel nmero de publicaes relacionadas
    A1, A2 e A6;
    Carncia em publicaes relacionadas Fraudes
    (A3, A4 e A5);

    Publicaes x Ataques x Anos

    28

    CIn.ufpe.br

    5. Abordagem da Proposta

    29

    CIn.ufpe.br

    Abordagem da Proposta
    Cenrio da Extenso Aegis

    30

    CIn.ufpe.br

    Abordagem da Proposta
    Interface da Extenso Aegis

    31

    CIn.ufpe.br

    Abordagem da Proposta
    Arquitetura do Servio Externo

    32

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro de A1 (XSS)

    33

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro de A2 (SQLi) 1/2

    34

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro de A2 (SQLi) 2/2

    35

    CIn.ufpe.br

    Abordagem da Proposta
    Filtros de Fraude: Sub-rotina AntiPhishing

    36

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A3 (Clickjacking)

    37

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A4 (Redirecionamentos ou
    Encaminhamentos Invlidos)

    38

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A5 (Complementos Maliciosos) 1/2

    39

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A5 (Complementos Maliciosos) 2/2

    40

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A6 (Exposio de Dados
    Sensveis) 1/3

    41

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A6 (Exposio de Dados
    Sensveis) 2/3

    42

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A6 (Exposio de Dados
    Sensveis) 3/3

    43

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A7 (Utilizao de Componentes
    Vulnerveis Conhecidos)

    44

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A8 (CSRF) 1/2

    45

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A8 (CSRF) 2/2

    46

    CIn.ufpe.br

    Abordagem da Proposta
    Filtro A9 (Falhas nas PMO)

    47

    CIn.ufpe.br

    Abordagem da Proposta
    Limitaes
    Extenso para IE;
    Fator Humano;

    Consideraes Finais
    Interceptar Comportamentos para medir
    Reputao;
    Limitao de Recursos do Navegador;

    48

    CIn.ufpe.br

    Abordagem da Proposta
    Ferramentas Correlatas (20)
    Extenses
    avast! Online Security [23]
    Anti-Phishing [24]
    ClickjackingReveal [25]
    Clickjacking Test [26]
    CSRF Finder [27]
    ImmuniWeb Self-Fuzzer [28]

    A1
    O
    O
    O
    O
    O
    X

    A2
    O
    O
    O
    O
    O
    X

    A3
    O
    O
    X
    X
    O
    O

    A4
    X
    X
    O
    O
    O
    O

    A5
    X
    O
    O
    O
    O
    O

    A6
    O
    O
    O
    O
    O
    O

    A7
    O
    O
    O
    O
    O
    O

    A8
    O
    O
    O
    O
    X
    O

    A9
    O
    O
    O
    O
    O
    O

    NetcraftExtension [29]

    No-Script Security Suite [30]


    RequestPolicy [31]
    RightClickXSS [32]

    X
    O
    X

    O
    O
    O

    X
    O
    O

    O
    X
    O

    O
    O
    O

    X
    X
    O

    O
    O
    O

    X
    X
    O

    O
    X
    O

    Safe Preview [33]

    ScriptSafe [34]
    SQL Inject Me [35]
    TamperMonkey [36]
    Toogle Cookies [37]

    X
    O
    X
    O

    O
    X
    O
    O

    O
    O
    O
    O

    X
    O
    X
    O

    O
    O
    O
    O

    X
    O
    X
    X

    O
    O
    O
    O

    O
    O
    O
    O

    O
    O
    O
    O

    Web ofTrust (WOT) [38]

    Websecurify [39]
    XSS chef [40]
    XSS Me [41]
    ZscalerLikejackingPrevention
    [42]

    X
    X
    X

    X
    O
    O

    O
    O
    O

    O
    O
    O

    O
    O
    O

    X
    O
    O

    O
    O
    O

    X
    O
    O

    X
    O
    O

    Navegador
    Chrome
    Firefox
    Firefox
    Chrome
    Firefox
    Firefox
    Chrome e
    Firefox
    Firefox
    Firefox
    Firefox
    Chrome e
    Firefox
    Chrome
    Firefox
    Chrome
    Firefox
    Chrome e
    Firefox
    Chrome
    Chrome
    Firefox
    Chrome

    49

    CIn.ufpe.br

    6. Avaliao

    50

    CIn.ufpe.br

    Avaliao
    Metodologia: GQM [Basili & Caldiera,
    1994]

    51

    CIn.ufpe.br

    Ambientes Controlados Disponveis


    Aplicaes
    Acunetix Vulnweb
    BadStore
    Cenzic (CrackMe Bank)
    Cyclone Transfers
    Damn Vulnerable Web Application
    EeSafe.org
    EnigmaGroup
    Exploit- DB
    Exploit KB Vulnerable Web App
    Google Gruyere
    Hackxor
    Hacme Apps
    Moth
    Mutillidae
    OWASP Hackademic
    OWASP SiteGenerator
    OWASP Vicnum
    OWASP Web Goat
    PCTechtips Challenge
    Peruggia
    Stanford SecuriBench
    The Bodgeit Store
    The Butterfly Security Project
    WackoPicko
    Watchfire
    Web Security Dojo
    WebMaven/Buggy Bank
    XSS Encoding Skills x5s

    A1
    X
    X
    X
    X
    X
    X
    X
    O
    O
    X
    X
    X
    X
    X
    X
    X
    X
    X
    O
    X
    X
    X
    X
    X
    X
    X
    X
    X

    A2
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    X
    O
    X
    O

    A3
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O

    A4
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O

    A5
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O

    A6
    O
    O
    O
    X
    O
    O
    O
    O
    O
    X
    O
    X
    O
    X
    O
    O
    X
    X
    O
    X
    X
    X
    X
    X
    O
    O
    O
    O

    A7
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O

    A8
    O
    O
    O
    O
    O
    O
    O
    O
    O
    X
    X
    O
    O
    O
    O
    O
    O
    X
    O
    X
    O
    X
    O
    O
    O
    O
    O
    O

    52

    A9
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O
    X
    O
    O
    O
    O
    O
    O
    O
    O
    O
    O

    CIn.ufpe.br

    Avaliao
    Execuo dos Testes Unitrios

    53

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q1)

    54

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q2)

    55

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q3)

    56

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q4)

    57

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q5)

    58

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q6)

    59

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q7)

    60

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q8)

    61

    CIn.ufpe.br

    Avaliao
    Resultados Obtidos (Q9)

    62

    CIn.ufpe.br

    Avaliao
    Limitaes

    Plenitude nos aspectos abordados;


    Resultados mais quantitativos;
    Ausncia de anlise comparativa na Q7;
    Ausncia nos testes para o IE;

    63

    CIn.ufpe.br

    Avaliao
    Consideraes Finais
    Em relao ao estudo proposto
    A ferramenta Aegis teve bons resultados em
    ambos os navegadores;

    Em relao ao contexto geral


    Carncia nas solues atuais quanto as
    prevenes em ataques A2, A3, A5 e A9;
    Ausncia quanto a preveno de ataques
    A7;

    64

    CIn.ufpe.br

    7. Concluso

    65

    CIn.ufpe.br

    Concluso
    Solues baseadas em proteo ClientSide;
    A proposta apresentou resultados
    satisfatrios quando imersa em um
    ambiente controlado;
    A proposta buscou atuar atravs de um
    modelo que prioriza o maior nvel de
    interao com a navegao;

    66

    CIn.ufpe.br

    Concluso
    Contribuies
    Reviso na literatura sobre os principais
    ataques em nvel Client-Side;
    Abordagem de um modelo de proteo que
    busca minimizar os principais vetores
    atuantes em ambientes Client-Side;
    Um ambiente controlado que proporciona
    uma avaliao mais ampla em comparao
    com os ambientes disponveis atualmente;

    67

    CIn.ufpe.br

    Concluso
    Contribuies
    Durante o desenvolvimento das pesquisas, foi
    possvel promover debates e artigos cientficos
    em conferncias nacionais e internacionais a
    respeito de certos aspectos abordados neste
    estudo (A9), a saber;
    SafeMash: Uma Plataforma como Servio para a
    Composio Segura e Colaborativa de Mashups
    WTDSI - SBSI 2013
    An Approach for Secure Mashup Composition
    IADIS 2013
    SafeMash: A Platform for Safety Mashup
    Composition WEBIST 2014
    68

    CIn.ufpe.br

    Concluso
    Limitaes da Proposta
    Filtro A2
    Anlise de maior profundidade;

    Filtro A5
    Transferncias de arquivos;

    Filtro A7
    Carece de boa funcionalidade;

    69

    CIn.ufpe.br

    Concluso
    Trabalhos Futuros
    Melhorias quanto aos Falsos Positivos
    Fator humano;
    Execuo em Isolamento;

    Esteganografia
    Arquivos de Imagens com cdigos maliciosos em seu
    meta-dados;

    Notificao de Vulnerabilidades
    Notificar os proprietrios de sites ou servios
    vulnerveis;

    Melhoria no desempenho dos filtros


    Ganho de performance com nova verso do
    webRequest (Chrome);

    Aegis como uma API para desenvolvimento seguro;


    CIn.ufpe.br
    70

    Referncias
    Mashable, 2013: http://mashable.com/2013/10/17/internet-users1996/?utm_cid=mash-com-g+-pete-photo
    HTML5Rocks, 2013:
    http://www.html5rocks.com/en/tutorials/internals/howbrowserswork/
    W3Schools, 2013:
    http://www.w3schools.com/browsers/browsers_stats.asp
    Allen, 2001: The CERT guide to system and network security
    practices. series in software engineering. Addison-Wesley.
    SANS/MITRE, 2011: cwe/sans top 25 most dangerous software
    errors
    MITRE, 2013: Common attack pattern enumeration and
    classification.
    OWASP, 2013: Owasp top ten project 2013. Technical report
    Wassermann, G. Z. S. (2008). Static detection of cross-site scripting
    vulnerabilities. Software Engineering, 2008. ICSE 08. ACM/IEEE 30th
    International Conference on
    71

    CIn.ufpe.br

    Referncias
    Bates, D., Barth, A., and Jackson, C. (2010). Regular expressions considered
    harmful in client-side xss filters. In Proceedings of the 19th International
    Conference on World Wide Web, WWW 10, pages 91100, New York, NY, USA.
    Kirda, E., K. C. V. G. J. N. (2006). Noxes: A client-side solution for mitigating
    cross-site scripting attacks. Proceedings of the ACM Symposium on Applied
    Computing.
    Venkatakrishnan, V. N., Bisht, P., Louw, M. T., Zhou, M., Gondi, K., and Ganesh,
    K. T. (2010). Webapparmor: A framework for robust prevention of attacks on
    webapplications. In Proceedings of the 6th International Conference on
    Information Systems Security, ICISS10, pages 326, Berlin, Heidelberg.
    Springer-Verlag.
    Nentwich, F., Jovanovic, N., Kirda, E., ChristopherKruegel, and Vigna, G. (2007).
    Cross-site scripting prevention with dynamic data tainting and static analysis.
    In In Proceeding of the Network and Distributed System Security
    Symposium(NDSS07.
    Fu, X., Lu, X., Peltsverger, B., Chen, S., Qian, K., and Tao, L. (2007). A static
    analysis framework for detecting sql injection vulnerabilities. In Proceedings of
    the 31st Annual International Computer Software and Applications Conference
    Volume 01, COMPSAC 07, pages 8796, Washington, DC, USA. IEEE
    Computer Society.

    72

    CIn.ufpe.br

    Referncias
    W3C (2012). Content Security Policy 1.0: http://www.w3.org/TR/CSP/
    Gustav Rydstedt, Elie Bursztein, D. B. and Jackson, C. (2010).
    Busting frame busting: a study of clickjacking vulnerabilities at
    popular sites. IEEE Oakland Web 2.0 Security and Privacy Workshop.
    CERT, 2008. Securing your web browser.
    TRENDMicro (2013). Malware hijacks social media accounts via
    browser add-ons.
    Guha, A.; Fredrikson, M. L. B. S. N. (2011). Verified security for
    browser extensions. Security and Privacy (SP), 2011 IEEE
    Symposium on.
    HTML5Sec (2013). Html5 security cheatsheet.
    Jackson, C. and Barth, A. (2008). Forcehttps cookies: A defense
    against eavesdropping
    and pharming. 17th International World Wide Web
    Conference.Information, U. G. (2010).
    HIPAA, 2010: Public law 111148mar. 23, 2010. Technical report, US
    Govermment Information.
    73

    CIn.ufpe.br

    Referncias
    Florian, C. (2012). Web browser war, security battle in 2011.
    Wang, A. C. A. M. T. K. H. J. (2013). Lightweight server support
    for browserbased csrf protection. WWW 13 Proceedings of the
    22nd international conference on World Wide Web.
    Ben-Itzhak, Y. (2013). Welcome to the malware-as-a-service
    business model.
    Rich Lundeen, Jesse Ou, T. R. (2011). New ways im going to
    hack your web app.
    In New Ways Im Going to Hack Your Web App.
    Gentile, M. (2013). Client-side security in the modern web.
    Technical report, Minded Security.
    W3C (2013a). Cross-origin resource sharing.
    Victor R. Basili, G. C. and Rombach, H. D. (1994). Goal
    Question Metric
    Paradigm. Encyclopedia of Software Engineering.
    74

    CIn.ufpe.br

    Obrigado!
    Aluno: Carlo Marcelo Revoredo da Silva
    (cmrs@cin.ufpe.br)
    Orientador: Vinicius Cardoso Garcia
    (vcg@cin.ufpe.br)
    25 de Fevereiro de 2014

    75

    CIn.ufpe.br

    Você também pode gostar