Fique atento: OpenID e OAuth são vulneráveis

Soluções que impulsionam e valorizam seu negócio.

Produtos Solo Network

Muito mais que
produtos de tecnologia...

A Solo Network oferece soluções que fazem a diferença no seu negócio. Conte com o nosso suporte para adquirir o produto correto na medida exata da sua necessidade.

Conheça nossos produtos


“A partir da implantação do Workplace, a CCP passou a ter uma comunicação mais integrada e segura, já que utilizava o whatsapp, além de ter uma força de trabalho mais engajada.”

Thiago Borges, Coordenador de TI da CCP


“A equipe Comercial da Solo Network está em contato contínuo para nos ajudar a melhorar nosso processo de comercialização, negociação, tornando o produto e nosso discurso de vendas cada vez mais competitivo.”

Júlio César Mila - CEO da T4Agro


“A Black Friday foi a primeira campanha grande para testarmos esse ambiente e tivemos um excelente retorno, atingindo faturamento de R$ 25 milhões em novembro. O Suporte da Solo Network foi muito importante porque tivemos que fazer vários alinhamentos na véspera da Black Friday e a equipe estava sempre disposta a auxiliar e retornar rapidamente.”

Ricardo Soares – Gerente de TI


“Em um ano de recessão econômica, a Solo Network nos ajudou a identificar várias oportunidades de melhorias sem necessidade de investir mais, por isso e novamente a Microsoft se mostrou um parceiro em que podemos confiar para atender as mais avançadas necessidades de segurança”

Leandro Silva – Gerente Executivo de TI


"Com o bom trabalho da Solo Network, ganhamos confiança e decidimos seguir também com a implantação do CRM, além da contratação do Azure. O licenciamento e implantação do ERP foi bastante positivo em nossas operações. Em 2018, nosso faturamento foi de R$ 30 milhões."

Cleverson Mickosz Nascimento - Gerente de TI da Biotrop


"Para a Cobmais, hoje a parceria com a Solo é fundamental. Eu tenho o suporte especializado que preciso, com qualidade e agilidade, sem necessidade de uma equipe interna para monitorar o ambiente."

Leandro Moura - Cobmais CEO


"Um ponto em especial merece destaque na equipe da Solo que nos atendeu: A agilidade na execução do projeto, onde conseguiram a implementação em um 1/3 do tempo definido pela proposta. Além de toda a assertividade..."

Thiago Algeri Supervisor de T.I. (CIO) da Frimesa


"Estou satisfeito com a estrutura implementada, principalmente no tocante à escalabilidade e segurança dos serviços. Isso passa muita credibilidade aos nossos clientes fortalecendo nossos relacionamentos."

Erich Rodrigues Da Silva CEO da Compuwise (Wise Sale)


"Com a utilização do Skype For Business para reuniões e conferências, reduzimos em 5% o tempo de entrega dos projetos. Nossa produtividade aumentou, pois a colaboração entre os funcionários do Paranacidade e as 399 prefeituras atendidas ficou muito mais fácil."

Leandro Victorino de Moura Gerente de Tecnologia da Informação do Paranacidade


"O processo de implantação pela equipe da Solo Network foi muito bem sucedido, sem impactos nas operações críticas da empresa. Portanto, temos total satisfação em agradecer a parceria, profissionalismo e qualidade do trabalho executado."

Daniel Maurer- Gestor de Segurança da Informação do Centro de Excelência em Tecnologia Eletrônica Avançada (CEITEC)


"A Solo Network, como parceiro Gold Microsoft esteve ao nosso lado durante todo o processo de SAM, apontando melhorias no processo, não apenas pensando em inovações e aquisições tecnológicas, mas também em otimizar e remodelar o que já tínhamos no ambiente da empresa"

Anderson Ueda Analista de TI da Brado Logística

Portal de notícias Mais notícias

Fique atento: OpenID e OAuth são vulneráveis

May 6, 2014, 14:35 PM by Audreyn Justus

Apenas algumas semanas depois da descoberta do bug Hearbleed descoberta, um cidadão normal como você e eu deveria estar preocupado com outra questão aparentemente generalizada, que não tem solução fácil. É exatamente a descrição do bug “Covert redirection” recentemente divulgado por Wang Jing, um estudante de doutorado em matemática na Universidade Tecnológica de Nanyang, em Cingapura. O problema foi encontrados nos protocolos populares de Internet OpenID e OAuth. O primeiro é utilizado quando você efetuar login em sites da web usando o seu login existente do Google, Facebook, LinkedIn, etc. O segundo é utilizado quando você autoriza sites, aplicativos ou serviços com Facebook/G+/etc., sem realmente revelar a sua senha e login para sites de terceiros. Estes dois são tipicamente usados em conjunto, e, como se vê, pode levar a sua informação para mãos erradas.

A ameaça

Nossos amigos da Threatpost têm uma explicação mais técnica sobre o assunto, juntamente com o link para a pesquisa original, mas vamos pular os detalhes desnecessários e apenas descrever o cenário de ataque possível e quais seriam as conseqüências. Primeiro, o usuário visitaria um site de phishing malicioso, que tem aqueles botões típicos de “Login com Facebook”. Um site pode parecer algum dos populares serviços de terceiros ou se disfarçar como um serviço totalmente novo. Então aparecerá uma janela pop-up real do Facebook/G+/LI, solicitando que o usuário digite o seu nome de usuário e senha para autorizar o serviço acima mencionado (e que provavelmente tem boa reputação) para acessar o perfil do usuário. Finalmente, a autorização para utilizar o perfil é enviado para o site falso (phising), utilizando o redirecionamento impróprio.

Em primeiro lugar, o usuário visitaria um site de phishing e faria o login com o Facebook ou outro provedor de OpenID. No final do dia, um cibercriminoso recebe a devida autorização (símbolo OAuth) para acessar o perfil da vítima com as permissões do aplicativo original: na melhor das hipóteses, é apenas um acesso a informações básicas do usuário; e no pior cenário é a capacidade de ler os contatos, enviar mensagens, etc.

Foi resolvido? A verdade é que não

Esta ameaça provavelmente não vai embora tão cedo, já que a correção deve ser realizada tanto no lado do provedor (Facebook/LinkedIn/Google, etc) e do lado do cliente (app ou serviço de terceiros). O protocolo OAuth ainda está em beta e vários prestadores usam diferentes implementações, que variam na sua capacidade de neutralizar o cenário de ataque acima mencionado. O LinkedIn foi o que melhor se posicionou na hora de implementar a correção e tomou medidas rigorosas de lidar com as coisas, exigindo que todos os desenvolvedores de terceiros forneçam uma “lista neutra” de redirecionamentos adequados. A partir de agora, cada aplicativo usado na autorização do LinkedIn deve ser seguro ou não-funcionais. As coisas são diferentes no Facebook, que infelizmente tem além de uma rede muto maior de aplicativos de terceiros, tem uma implementação mais velha do OAuth. É por isso que os representantes do Facebook responderam para a Jing dizendo que a realização de “listas neutras” “não é algo que pode ser realizado em curto prazo”.

Há muitos outros provedores que parecem ser vulneráveis (confira a foto), então se você inicia alguma sessão usando estes serviços, você deve tomar algumas medidas.

Seu plano de ação

Para os mais cautelosos, a solução à prova de balas seria desistir de usar o OpenID e aqueles botões acessíveis “Iniciar com …” por alguns meses. Você também pode se beneficiar de uma maior privacidade, já que esses logins de redes sociais permitem um monitoramento mais eficiente dos seus movimentos online e permite que mais e mais sites possam ler seus dados demográficos básicos. Para evitar o obstáculo de ter que memorizar dezenas ou mesmo centenas de logins diferentes para vários sites, você pode finalmente começar a usar um gerenciador de senhas eficiente. Hoje em dia, a maioria dos serviços são equipados com clientes de várias plataformas e sincronização em nuvem para garantir que você tenha acesso às suas senhas em todos os dispositivos que você possui.

"Para usuários cautelosos, a melhor solução seria deixar de usar o login do Facebook/Google para acessar sites por alguns meses."

No entanto, se você pretende continuar usando a autorização OpenID, não há perigo imediato em fazer isso. Você apenas tem que estar muito atento e evitar golpes de phishing, que normalmente começam com alguma carta perturbadora na sua caixa de entrada ou um link provocante no Facebook ou outra rede social. Se você efetuar login em algum serviço usando Facebook/Google/etc., certifique-se de abrir o site deste serviço usando o endereço digitado manualmente ou através de um marcador, não o link de seus e-mails ou mensagens. Verifique a barra de endereços para evitar visitar sites incompletos e não se inscreva em novos serviços com OpenID, a menos que tenha 100% de certeza de que o serviço tem boa reputação e que voce chegou ao site correto. Além disso, use soluções de navegação segura como o Kaspersky Internet Security Multi-Dispositivo que impede que seu navegador visite lugares perigosos, incluindo sites de phishing.

Este é apenas um exercício comum de precaução, que cada usuário da Internet deve executar diariamente, já que as ameaças de phishing são generalizadas e eficazes, levando a todos os tipos de perda de propriedade digital, incluindo números de cartões de crédito, logins de e-mail e assim por diante. O bug “CoverRedirect” no OpenID e OAuth é apenas mais um motivo para fazê-lo – sem exceções.

Fonte: Kaspersky Lab

Parcerias & Certificações

Microsoft Gold Partner
Adobe Platinum Reseller
Kaspersky Platinum Partner
Selo de parceiro Check Point
Autodesk Gold Partner
monday.com
KnowBe4
Selo de parceiro Veeam
KnowBe4
Selo de parceiro Veeam

Precisando de orientação para escolher sua solução de tecnologia?

São Paulo - SP
(11) 4062-6971
Rio de Janeiro - RJ
(21) 4062-6971
Belo Horizonte - MG
(31) 4062-6971
Curitiba - PR
(41) 4062-6971
Londrina - PR
(43) 4062-6971
Maringá - PR
(44) 4062-6971
Florianópolis - SC
(48) 4062-6971
Porto Alegre - RS
(51) 4062-6971
Brasília - DF
(61) 4062-6971
Salvador - BA
(71) 4062-7479
São Paulo - SP
(11) 4062-6971
Rio de Janeiro - RJ
(21) 4062-6971
Belo Horizonte - MG
(31) 4062-6971
Curitiba - PR
(41) 4062-6971
Londrina - PR
(43) 4062-6971
         
Maringá - PR
(44) 4062-6971
Florianópolis - SC
(48) 4062-6971
Porto Alegre - RS
(51) 4062-6971
Brasília - DF
(61) 4062-6971
Salvador - BA
(71) 4062-7479
São Paulo - SP
(11) 4062-6971
Rio de Janeiro - RJ
(21) 4062-6971
Belo Horizonte - MG
(31) 4062-6971
Curitiba - PR
(41) 4062-6971
Londrina - PR
(43) 4062-6971
Maringá - PR
(44) 4062-6971
Florianópolis - SC
(48) 4062-6971
Porto Alegre - RS
(51) 4062-6971
Brasília - DF
(61) 4062-6971
Salvador - BA
(71) 4062-7479