O analista de segurança da iBLISS, Ícaro Torres, desenvolveu um script de segurança NSE para ser aplicado junto a ferramentas de varredura e análise de redes Nmap e evitar vazamentos de dados decorrentes da realização de ataques de interceptação de dados por parte maliciosa. O script já foi aceito e incluso no projeto oficial da aplicação.

O script de segurança NSE está relacionado ao HTTP script-transport-security (HSTS) (RFC 6769), uma configuração de segurança ativada no serviço Web (Apache, Nginx e outros), que força os navegadores e browsers de internet a somente trafegar informações via canais seguros e criptografados (HTTPS). O objetivo é evitar a interceptação de dados por hackers por meio de ataques do tipo man-in-the-middle (MITM).

O man-in-the-middle (pt: Homem no meio, em referência ao atacante que intercepta os dados) é uma forma de ataque em que os dados trocados entre duas partes (por exemplo, você e o seu banco), são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas se apercebam.

Durante o ataque man-in-the-middle, a comunicação é interceptada pelo atacante e retransmitida por este. O atacante pode decidir retransmitir entre os legítimos participantes os dados inalterados, com alterações ou bloquear partes da informação.

Como os participantes legítimos da comunicação não se apercebem que os dados estão a ser adulterados tomam-nos como válidos, fornecendo informações e executando instruções por ordem do atacante.

A ausência dessa configuração ativa resulta em uma falha de segurança aplicação e, para evitar o problema e facilitar esse tipo de verificação durante projetos de gestão de vulnerabilidades, Torres desenvolveu o script de segurança NSE, que já pode ser acessado no projeto oficial da aplicação.

Evolução

O projeto vem sendo atualizado pela comunidade e foi renomeado para http-security-headers pois passou a verificar também outros cabeçalhos/headers http específicos para segurança como:

• HSTS (HTTP Strict Transport Security)
• HPKP (HTTP Public Key Pins)
• X-Frame-Options
• X-XSS-Protection
• X-Content-Type-Options
• Content-Security-Policy
• X-Permitted-Cross-Domain-Policies
• Set-Cookie
• Expect-CT
• Cache-Control
• Pragma and Expires.

Sobre Ícaro Torres

Ícaro atua na área de projetos de análise de vulnerabilidades e pesquisas em segurança na iBLISS Digital Security. Formado em redes de computadores e pós-graduado em segurança da informação, Torres trabalha em tecnologia de segurança digital e auditorias, tendo atuado em empresas de tecnologia, hosting e datacenters.

O analista, que também é atuante na comunidade de segurança web e contribui em projetos de tradução no Projeto Aberto de Segurança em Aplicações Web (em inglês, Open Web Application Security Project – OWASP), também estuda assuntos ligados à segurança de aplicações web, testes de invasão e análise de malware.

Acesse também a página de nosso grupo de pesquisa iBLISS Labs.