Encurtadores de URL / Códigos QR
Transcrição
Encurtadores de URL / Códigos QR
OUCH! | Junho de 2013 NESTA EDIÇÃO... • Entendendo as URLs • Encurtadores de URL • Códigos QR (QR Codes) Encurtadores de URL / Códigos QR Contexto Uma URL (Uniform Resource Locator) não é nada Editor Convidado mais que um nome bonito para um endereço de Dr. Eric Cole é um especialista de segurança reconhecido site de Internet, como http://www.google.com. Uma no mercado. É autor de vários livros incluindo Advanced URL é o nome que você digita quando quer visitar Persistent Threat, Hackers Beware e Network Security um site ou página na Internet. Quando você digita Bible. Dr. Cole é também o fundador da empresa Secure Anchor Consulting, membro e autor de curso da a URL no seu navegador, seu navegador pega o faculdade SANS. nome digitado e transforma em um endereço IP. Este endereço IP indica onde o site está localizado na Internet. Seu navegador então se conecta ao site de Internet e baixa a página para que você possa visualizá-la. O problema é que os criminosos cibernéticos podem utilizar uma variedade de truques com as URLs, fazendo com que você pense que está visitando um site legítimo quando na verdade está visitando um site diferente, controlado por eles e muito provavelmente desenvolvido para roubar suas informações ou atacar seu navegador e infectar seu computador. O lugar para onde você pensa estar indo e o lugar para onde você está indo de fato podem ser duas coisas totalmente diferentes. Vamos revisar como funciona uma URL, vários ataques usuais através de URLs e como se proteger deles. Entendendo as URLs Uma URL não é nada mais que um destino composto de três partes. A primeira parte é o protocolo, como você está se conectando ao site de Internet. Normalmente é usado HTTP (texto aberto) ou HTTPS (conexão encriptada). A segunda parte é o domínio, ou seja, o site de Internet para onde você está indo. A terceira parte é a página inicial, a página que você vai visitar no site. Vamos ver um exemplo de URL: https://www.securingthehuman.org/ouch Esta URL começa com HTTPS, que indica uma conexão encriptada. A segunda parte, www. securingthehuman.org é o site de Internet que você visitaria se clicasse no link. Finalmente a terceira parte é a ‘/’. Qualquer coisa depois da barra indica que parte do site de Internet você visitaria. Neste exemplo você iria para o site Securing The Human e então seria direcionado para a página OUCH. A parte OUCH! | Junho de 2013 Encurtadores de URL / Códigos QR mais importante a examinar é a segunda parte – o domínio. É esse realmente o site de Internet que você quer visitar? Vamos ver como os criminosos podem fazer truques para enganá-lo e direcioná-lo para sites de Internet que eles controlam. Encurtadores de URL Provavelmente você já viu um Encurtador de URL antes. Ele não é nada mais que um serviço que pega uma URL muito longa e complexa e encurta para uma URL simples e bem curta. Isso torna mais fácil comunicar URLs longas e complexas por meios tradicionais de comunicação, como em um e-mail. Também é usado quando o número de caracteres é limitado, como no Twitter ou em uma mensagem de texto. Alguns exemplos desse serviço são o tinyurl.com, bit.ly e o goo.gl. O risco é que ao clicar em uma URL encurtada você não está vendo o destino verdadeiro. Por isso, pessoas mal intencionadas podem publicar URLs encurtadas para levá-lo a sites de Internet que eles controlam. Por segurança, verifique o destino verdadeiro de URLs encurtadas ou Códigos QR antes de utilizá-los. Uma das formas de se proteger é verificar onde o link abreviado vai levá-lo antes de clicar no link. Vários sites de Internet oferecem um serviço que permite copiar/colar uma URL encurtada para ver seu real destino (veja exemplos abaixo, em Recursos). Adicionalmente, alguns encurtadores de URL oferecem a opção de pré-visualização do destino verdadeiro. Por exemplo, em uma URL do bit.ly, simplesmente adicione um sinal de “+” ao final da URL para ver o destino verdadeiro, assim: http://bit.ly/10hVtvV+ Códigos QR (QR Codes) Um código QR é similar ao conceito de encurtadores URL, mas desenvolvidos para seu smartphone. Ele converte uma URL em uma imagem digital. Ao utilizar um aplicativo especial no seu smartphone, você pode fotografar um Código QR, que então abrirá um navegador de Internet no seu aparelho e o levará ao site de Internet embutido no Código QR. Porém você corre o mesmo risco dos encurtadores de URL, que é confiar no Código QR sem saber para onde ele está te levando. Por exemplo, vamos supor que você está viajando, em uma estação de trem ou terminal de aeroporto e vê um cartaz com uma propaganda de um novo filme. Se você usar seu smartphone para ler o Código QR, o cartaz promete levá-lo ao trailer do filme. OUCH! | Junho de 2013 Encurtadores de URL / Códigos QR Mesmo que o cartaz seja provavelmente legítimo, qualquer criminoso pode ter colado um novo adesivo com um Código QR criado por ele, por cima do original. Agora qualquer dispositivo que leia o Código QR seria redirecionado não para o trailer do filme, mas para um site de Internet controlado pelo atacante. Assim como em uma URL abreviada, verifique primeiro o destino. Certifique-se de que seu aplicativo leitor de Código QR tem o recurso de informar primeiro o destino para onde está te levando e se dá a opção de decidir se quer visitar ou não aquele site de Internet. Se seu aplicativo leitor de Código QR não oferece o recurso de pré-visualização do destino, pegue outro aplicativo, pois há muitas opções gratuitas. Saiba Mais Assine OUCH!, a publicação mensal de sensibilização de segurança, acesse os arquivos de OUCH! e saiba mais sobre as soluções SANS de sensibilização de segurança visitando nossa página em http://www.securingthehuman.org. Versão Brasileira Traduzida por: Homero Palheta Michelini, Arquiteto de T/I, especialista em Segurança da Informação twitter.com/homerop Michel Girardias, Analista de Segurança da Informação twitter.com/michelgirardias Marta Visser – Tradutora autônoma Rodrigo Gularte, Administrador de Empresas, especialista em Segurança da Informação twitter.com/rodrigofgularte Katia Lucia da Silva, Arquiteta de T/I, Tradutora - twitter.com/kl_silva Recursos Explicação sobre Códigos QR: http://pt.wikipedia.org/wiki/QR_code Unfurlur (para ver o destino verdadeiro): http://unfurlr.com/ URL X-ray (para ver o destino verdadeiro): http://urlxray.com/ Glossário de segurança: http://cartilha.cert.br/glossario/ SANS - Dicas de Segurança do Dia (em Inglês): http://preview.tinyurl.com/6s2wrkp OUCH! é publicado pelo “SANS Securing the Human” e distribuído sob o licenciamento Creative Commons BY-NC-ND 3.0 license. A distribuição ou utilização desta publicação em programas de treinamento é permitida desde que seu conteúdo não seja modificado. Para traduções ou mais informações entre em contato pelo [email protected] Board Editorial: Bill Wyman, Walt Scrivens, Phil Hoffman, Bob Rudis Traduzida por: Homero Palheta Michelini, Michel Girardias, Katia Lucia da Silva, Rodrigo Gularte, Marta Visser