Вы находитесь на странице: 1из 6

Relatório de segurança e

privacidade para leitores e


escritores do Jornal A verdade

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras
Conteúdo
O presente documento apresentará em seguida uma análise do módelo Black box
(Caixa escura) onde o analista realiza o trabalho de forma de forma que não é
apresenado informações internas do site na qual será analisado, dessa forma toda a
analiseé feita de informações expostas ao público. Após todas as falhas juntamente é
apresentado a aplicação de correções de segurança, onde será instruido soluções para
as determinadas falhas/vulnerabilidades/potenciais indisponibilidades.

Levantamento de infraestrutura e aplicação


Alguns detalhes do levantamento feito através de whois, WPscan e nós de DNS:

Servidor: Kinghost

IP principal: 177.12.161.199, Rio Grande do Sul (Porto Alegre)

Servidor Web: Apache

Wordpress: Versão 5.1

Tipo de hospedagem: Compartilhada

Vulnerabilidades
Análise realizada através de exploração de SQL Injection, Wordpress CVEs, registro de IP
e DNS’s:

Aplicação
Wordpress
XMLRPC exposto:
URL: averdade.org.br/novo/xmlrpc.php
Descrição: Através da direta exposição do XMLRPC é possível fazer uma série de tentativas
sem verificações de autenticação. Tanto quanto ataques de negação de serviços, DOS.

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras
Readme exposto:
URL: averdade.org.br/novo/readme.html
Descrição: Com o “Leia-me” é possível ver a versão atual que está sendo executada e dessa
forma procurar e explorar vulnerabilidades de determinada versão, mesmo não existindo hoje,
futuramente pode ser encontrada e isso será uma forma de exploração tanto de ataques diretos
quanto automatizados.
Yoast SEO – Vulnerabilidade de XSS:
URL: averdade.org.br/novo/wp-content/plugins/wordpress-seo/
Descrição: O plugin permite um ataque com o usuário do wordpress já autenticado, dessa forma
é possível que o atacante injete códigos maliciosos que podem expor tanto os leitores quanto os
moderadores.

Infraestrutura (Servidor)
SSL desabilitado:
URL: Todo o site: averdade.org.br/*
Descrição: O SSL (Secure Sockets Layer) fará com que não mais o site seja acessado através
de HTTP mas HTTPS. Através do SSL é possível criptografar a conexão feita do acessante
(client) para o servidor, e vice-versa. Atualmente todos os usuários acessantes do site estão
expostos a expor suas localizações, tanto quanto quais conteúdos estão lendo. Até mesmo os
próprios mantenedores que fazem manutenção estão expostos a possíveis ataques onde é
possível capturar até mesmo a senha e o usuário do wordpress, e dessa forma fazer alterações na
plataforma
Hospedagem compartilhada
URLs:
• csdl.com.br
• acfseguranca.com.br
• coletivomangueiras.org
• paroquiabompastor.org
• aluguelpratemporada.com.br
• risingdestiny.com.br
• tembiapo.com.br
• bakus.com.br
• seguraevai.com.br

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras
• imoveispraiadadaniela.com.br
• vacacionesenfloripa.com.br
• ciahinfo.com
• speletro.com.br
• jurereinternacionalaluguel.com.br
• coffeeshop18.com.br
• copataxi.com.br
• vendaimoveisjurere.com.br
• kunrath.ind.br
• apa.com.br
• bicharadanet.com.br
• lidervaletintas.com.br
• allumeiluminacao.com.br
• oorganizador.com.br
• mcantarani.com
• acaoesaude.com
Descrição: Alguns desses vários sites possuem falhas como SQL-injection, XSS variado, etc…
Possível adquirir inclusive as credenciais (se for o caso) dx donx no KingHost, e assim possuir
o máximo de acesso em todos esses sites.

Soluções
XMLRPC
Através do XMLRPC é possível fazer tentativas repetidas de
autenticação, dessa forma possibilita o uso de ferramentas automatizadas
voltadas a quebra de senhas. Também é possível fazer ataques afim de deixar
o alvo indisponível.

A solução é dada através de um arquivo de configuração do servidor,


como é usado o apache esse arquivo chama-se .htaccess e deve ficar na mesma
pasta onde está a raiz do projeto, provavelmente em
/var/www/html/averdade.org.br/.

No arquivo é possível definir o que será ou não acessível e mudar as


permissões de diretórios, solicitar senhas etc.

Basta acrescentar (ou criar) esse conteúdo no arquivo .htaccess:

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras
<Files xmlrpc.php>

order deny,allow

deny from all

</Files>

Readme exposto:
Através do readme é possível identificar a versão atual que está
funcionando o wordpress, dessa forma procurar por novas falhas que
atinge aquela versão correspondente.

Para impedir a visualização basta adicionar em .htaccess:


<files readme.html>
order allow,deny
deny from all
</files>

Yoast SEO – Vulnerabilidade de XSS:


XSS possibilita uma injeção de códigos maliciosos, podendo
causar grandes impactos, para reverter esse problema é necessário
atualizar o plugin, basta abrir o painel de configuração do wordpress
e então atualizar.

SSL desabilitado:
O SSL é de extrema importância para um jornal combativo se
manter seguro, o não uso do SSL possibilita ataques, pesca de dados e
até identificação e enumeraçao de acessantes, também identificam
dados como credenciais de acessos etc.
Para solucionar isso é necessário configurar, dependendo de como
é dado o acesso ao servidor ele será de formas diferentes. caso seja
através de um Cpanel, pode ser gratuito ou pago, é preciso notar isso
na configuração.
Caso seja via SSH, é possível fazer de formas variadas, e também
variam de acordo com o sistema operacional na qual esteja
funcionando, caso precise eu mesmo posso vir a instruir a instalação
e configuração, ou fazer.

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras
Proposta
Disponibilizar na rede Tor¹
Também disponibilizar o site na rede Tor (Rede anônima), dessa forma é possível
assegurar ainda mais cada leitor, tanto quanto xs proprixs mantenedores. De forma rápida é possível
configurar para que funcione o na rede do tor, e com um endereço .onion.
Para instalar o tor, é possível de diferentes formas, e suas formas variam de acordo com
a distribuição do sistema operacional. Também me apresento disposto a auxiliar a sua instalação ou eu
mesmo posso fazer.
Instalar plataforma de submissão de conteúdos anonima
A proposta é de permitir o envio de conteúdos como vídeos, audios de abusos de poder,
ou até mesmo agressões militares. Conteúdos sensíveis que podem comprometer a quem enviou, sua
verificação de autenticidade deverá ser feita. Dessa forma vídeos como a ultima agressão da parte da
policia ao camarada Marcos Alexandre poderiam ser enviados.
Existe uma plataforma chamada SecureDrop (Criada por um ativista chamado Aaron
Swartz sendo a FBI suspeita de seu assassinato) que funciona na rede Tor, sua instalação é complexa e
envolvem muitas questões de privacidade, eu poderei auxiliar sua instalação, ou instalar.

¹ Slideshare, Você é espionado todos os dias: Saiba como se defender | TOR project, 25/05/2019 ,
Disponível em: <https://pt.slideshare.net/potilivre/voc-espionado-todos-os-dias-saiba-como-se-
defender-tor-project>, Acesso em: 27/07/2019

Atenção: Esse documento é confidencial e portanto seu acesso deverá


ser limitado aos responsáveis diretos pelo Jornal A verdade. sua
transferencia precisará ser de forma física ou confidencial, seja por
meios de criptografia ou aplicações seguras

Вам также может понравиться