Habilitando o HSTS no Apache e Nginx (Atualizado)
26 de Novembro de 2012, 0:00 - sem comentários aindaO HTTP Strict Transport Security ou HSTS (RFC 6797) é um novo padrão de segurança SSL aprovado recentemente pelo IETF. Ele traz diversas melhorias para o SSL como forçar a utilização do HTTPS impedindo que sites sejam acessados usando o protocolo HTTP ou que partes do código de um site que está usando HTTPS seja executado em servidores usando o HTTP entre outras.
Este protocolo já é utilizado pelo Google,Paypal,Twitter e outros sites, porém necessita da adoção em massa para se tornar um padrão de fato. Ativá-lo é muito simples e ele substitui a utilização do redirecionamento forçado do HTTP para HTTPS.
No Apache
Habilite o módulo mod_headers
a2enmod headers
Adicione o seguinte parâmetro no VHOST do site
Header add Strict-Transport-Security “max-age=15768000″
ou
Strict-Transport-Security: max-age=15768000 ; includeSubDomains
O parâmetro max-age define para o navegador o período de validade em segundos que o HTTPS será forçado, nesse caso serão 6 meses.
O parâmetro includeSubDomains indica que esta regra valerá para os subdominios.
No Nginx
Adicione o seguinte parâmetro no arquivo de configuração do Nginx
add_header Strict-Transport-Security max-age=15768000;
Dica: Use Qualys SSL Server Test para testar se HSTS está funcionando corretamente.
Referências
Owasp HTTP Strict Transport Security
Novo padrão promete aumentar proteção de sites seguros
Firefox 4: HTTP Strict Transport Security (force HTTPS)
Protecting your users from phishing with Apache rules and HSTS
Habilitando o HSTS no Apache e Nginx
26 de Novembro de 2012, 0:00 - sem comentários aindaO HTTP Strict Transport Security ou HSTS (RFC 6797) é um novo padrão de segurança SSL aprovado recentemente pelo IETF. Ele traz diversas melhorias para o SSL como forçar a utilização do HTTPS impedindo que sites sejam acessados usando o protocolo HTTP ou que partes do código de um site que está usando HTTPS seja executado em servidores usando o HTTP entre outras.
Este protocolo já é utilizado pelo Google,Paypal,Twitter e outros sites, porém necessita da adoção em massa para se tornar um padrão de fato. Ativá-lo é muito simples e ele substitui a utilização do redirecionamento forçado do HTTP para HTTPS.
No Apache
Adicione o seguinte parâmetro no VHOST do site
Header add Strict-Transport-Security “max-age=15768000″
ou
Strict-Transport-Security: max-age=15768000 ; includeSubDomains
O parâmetro max-age define para o navegador o período de validade em segundos que o HTTPS será forçado, nesse caso serão 6 meses.
O parâmetro includeSubDomains indica que esta regra valerá para os subdominios.
No Nginx
Adicione o seguinte parâmetro no arquivo de configuração do Nginx
add_header Strict-Transport-Security max-age=15768000;
Referências
Owasp HTTP Strict Transport Security
Novo padrão promete aumentar proteção de sites seguros
Firefox 4: HTTP Strict Transport Security (force HTTPS)
Protecting your users from phishing with Apache rules and HSTS
Servidores Linux com Nginx são alvos de rootkit
21 de Novembro de 2012, 0:00 - sem comentários ainda
Semana passada ( 13/nov ) foi divulgado na lista Full-disclosure um novo rootkit que tem como alvos servidores Linux usando o webserver Nginx.
Segundo stack trace, vítima do ataque, o malware adiciona um iFrame malicioso na resposta HTTP enviada pelo servidor web. Após o comprometimento o servidor passa a encaminhar as requisições para outros sites maliciosos, além disso um Blackhole varre o host do visitante a procura de falhas no Java, Flash entre outras aplicações rodando na máquina cliente.
Foi descoberto até o momento um módulo especifico para o kernel 2.6.32-5-amd64, presente no Debian Linux. Pesquisadores da Karpersky Labs nomearam o malware como Rootkit.Linux.Snakso.a, outra análise bastante interessante é do pesquisador Georg Wicherski da CrowdStrike, ele considerou o rootkit como parte da operação do cybercrime e que pelas técnicas adotadas foi desenvolvido por programador russo sem muito conhecimento do kernel.
Medidas Preventivas:
Realmente não existe mágica na proteção contra novos malwares porém posso sugerir algumas recomendações básicas:
- Manter uma rotina de varredura de antivirus mesmo em servidores Linux;
- Utilizar um IDS ou um WAF e monitorá-lo diariariamente;
- Utilizar um HIDS alertando sobre modificações das páginas hospedadas no servidor.
- Utilizar camadas de segurança de kernel como SELinux,GRsecurity ou Tomoyo ;
- Identificando comportamentos anormais no servidor ou site usar comandos para identificar atividades maliciosas como strace ( e.g. strace -fp PID ) e lsof ( e.g. lsof -i )
- Sempre que identificar um servidor ou site comprometido bloquear os acessos imediatamente.
