O caso “StrongWebMail.com”
Não. Eu não podia deixar de comentar sobre o caso mais comentado da última semana: O desafio do StrongWebMail.com .
Trata-se de um novo serviço que garante a segurança de seu login exigindo que você preencha números que o serão informados por telefone. Se é uma excelente idéia ou não, eu não sei. Só sei que eu não gostaria de ter meu celular tocando a cada vez que fosse conferir minha caixa de entrada. Isso sem contar, é claro, as situações em que o celular não está com você\esta descarregado\fora de área.
Eficiente ou não, a forma com que eles entraram no mercado chamou a a atenção da comunidade de segurança: Propuseram um desafio cujo objetivo era quebrar a segurança do sistema. O prêmio? 10 mil dólares. A empresa estava certamente confiante de que seu produto seguraria a barra… pelo menos por um bom tempo. Como vocês podem imaginar, falharam.
A tarefa do desafio era ter acesso ao e-mail do CEO da empresa, obtendo sua caixa de entrada e sua lista de tarefas.
Em poucos minutos, Lance James e mais dois hackers, Mike Bailey e Aviv Raff, recrutados por twitter, encontraram uma falha. Tratava-se de um Cross-site Scripting no campo de Assunto, quando visualizado pelo web-mail. Segundo Lance, o mais trabalhoso – que levou aproximadamente 6 horas para ficar pronto – foi o exploit (código que seria injetado pela falha). Ele capturava mensagens na caixa de entrada, cookies e a lista de tarefas (“Task lists”, um dos serviços do site), os enviando para um script na web.
Bastava, então, que alguem entrasse naquele e-mail para o exploit funcionar. Para que isso ocorresse, Lance contatou a equipe de suporte notificando que havia obtido acesso à conta do CEO e que os detalhes estavam em sua caixa de entrada. Isso obrigaria a equipe a logar naquela conta, onde havia o XSS aguardando para ser executado.
Minutos depois, os dados já estavam em mãos. No entanto, inicialmente a empresa alegou que o método usado não seria válido por não se tratar de uma falha específica do sistema de autenticação deles, mas, depois de muito repercutir na web, anunciaram o grupo como vencedores e os pagaram a premiação. No mesmo anúncio, porém, alegaram que o sistema deles não foi burlado, pois o “hacker teve de encontrar um meio de evitar a verificação telefonica”, ou seja, o sistema deles ainda é eficiente. Neste ponto, eu concordo, mas não é só no momento de login que a segurança deve ser analisada. E neste aspecto a lição foi muito bem dada. Eles certamente viram que Cross-site Scripting é uma falha séria.
FONTES: Entrevista com Lance James no blog FireBlog (inglês)
Twitter: @XssExploits