A informação confidencial relacionada com dados críticos de serviços e aplicações sobre os servidores web expõe-se cada vez mais devido a uma deficiente gestão dos administradores. Isto facilita o acesso de terceiros por meio de buscadores web.
Em publicações anteriores falamos sobre painéis de administração web e credenciais de acesso expostas. O problema levantado neste caso era sobre um painel web específico onde se gerava um arquivo contendo informação sensível que podia ser utilizada por um atacante para ingressar o próprio painel.
Tem-se descoberto que através de buscas específicas na Internet é possível acessar arquivos infinitos que contenham informação confidencial. Na continuação pode visualizar-se uma captura com os resultados de uma busca onde obtem-se dados sobre usuários e senhas de diversos websites em formato XLS (planilhas):
No caso anterior, obtiveram-se resultados que jogaram arquivos em formato XLS que contém informação confidencial como podem ser usuários e senhas de serviços ou qualquer outro tipo de dados críticos. Muitos destes arquivos são alojados em servidores web pelos próprios administradores com a crença que não serão visíveis por terceiros.Contudo os buscadores indexam a informação aos sites de forma recursiva ficando pública e acessível a partir de buscas com filtros específicos.
Assim mesmo, existe informação confidencial de outra natureza e origem que pode ser exposta. Muitas ferramentas utilizadas em servidores web geram relatórios e arquivos de forma automática que contém informação sensível. A modo de exemplo, um caso específico pode ser de certas ferramentas que trabalham sobre o protocolo FTP (porta padrão 21) o protocolo SSH (porta por defeito 22), onde é possível visualizar o nome do usuário e senha correspondente a uma grande quantidade de sites web. A continuação se une a uma captura com os resultados de uma busca específica:
É importante que este tipo de informação seja contemplada na hora de utilizar ferramentas que disponham destas características.
Que medidas podem ser tomadas para evitar o acesso a informação confidencial?
No caso que se utilizam planilhas ou outro tipo de arquivos com informação sensível dentro de um servidor web, na medida do possível, não se deve armazenar nos diretórios do servidor web de forma pública. Exceto no caso de estes arquivos somente serem acessíveis por certas pessoas onde o acesso deve realizar-se através de um mecanismo de validação. Outra alternativa é alojar-lo em diretórios privados, onde não sejam indexados pelos crawlers (robôs) dos buscadores.
No caso dos relatórios ou arquivos gerados automaticamente por distintas ferramentas, deve-se ter em conta previamente esta característica. Se não é necessário dispor de tais relatórios de arquivos, é recomendável desativar esta funcionalidade para evitar que os mesmos fiquem acessíveis por terceiros acidentalmente. Se devem-se dispor destes arquivos, devem contemplar para que os dados sejam guardados em locais seguros e não públicos.
Este tipo de incidente não é algo novo mas existe a possibilidade de evitá-lo. É por isso que a segurança deve ser gestionada. Desde a ESET Latinoamérica contamos com nossa unidade de ESET Security Services, onde ofertamos serviços orientados a autoridade de segurança, estabelecendo uma forma de avaliar qual é o estado atual da mesma e propor um plano de ação corretivo.
Fernando Catoira
Analista de Segurança.