Download - Apresentação sobre WebMessengers
![Page 1: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/1.jpg)
Grupo de Respostaa Incidentes de Segurança
Segurança em WebMessengers
Por:Manoel Fernando de Sousa Domingues Junior
Grupo de Resposta de Incidentes de SegurançaDepartamento de Ciência da Computação
Instituto de MatemáticaUniversidade Federal do Rio de Janeiro
[email protected]@gris.dcc.ufrj.br
![Page 2: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/2.jpg)
Introdução
● O que são WebMessengers?– São mensageiros que funcionam sem depender
de instalação local. Geralmente se aproveitão de tecnologias como o AJAX e JavaScript para sua execução
![Page 3: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/3.jpg)
Introdução
● Por que usar webmessengers?– Não precisa instalar
– Só precisa do navegador
– Independe do SO
– Acessível em qualquer lugar
– Seguro
![Page 4: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/4.jpg)
Introdução
● Por que usar webmessengers?– Não precisa instalar
– Só precisa do navegador
– Independe do SO
– Acessível em qualquer lugar
– Seguro ???
![Page 5: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/5.jpg)
Análise
● WebMessenger escolhidos:– Meebo
– Ebuddy
– Windows Live Messenger Web
![Page 6: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/6.jpg)
Ambiente dos Experimentos
● Cliente: – Mozilla Firefox 3.5 e Opera 10.00
● Sniffer:– Wireshark 1.2.3
![Page 7: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/7.jpg)
O Meebo
● URL principal:http://www.meebo.com
● Segundo a documentação, o login e a senha do usuário são criptografados e depois enviados ao servidor.
● Possui versão totalmente criptografada https://www.meebo.com
![Page 8: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/8.jpg)
![Page 9: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/9.jpg)
![Page 10: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/10.jpg)
![Page 11: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/11.jpg)
“No Meebo, nós levamos a segurança muito a sério. Nós nunca enviamos suas credenciais de login em texto puro
e garantimos que sempre que nos envie os dados através da internet, sempre será codificado.”
![Page 12: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/12.jpg)
Testando o Meebo
Transação de pacotes com SSL e TLS ativos no navegador
![Page 13: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/13.jpg)
Testando o Meebo
Resposta não esperada do servidor
![Page 14: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/14.jpg)
Testando o Meebo
Resposta não esperada do servidor
![Page 15: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/15.jpg)
Testando o Meebo
Transação de pacotes com SSL e TLS desativados no navegadorUtiliza uma implementação de RSA em JavaScript
![Page 16: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/16.jpg)
Testando o Meebo
Transação de pacotes com SSL e TLS desativados no navegadorUtiliza uma implementação de RSA em JavaScript
![Page 17: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/17.jpg)
JavaScript
![Page 18: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/18.jpg)
Testando o Meebo
● Segundo a documentação do Meebo, toda tranferencia de dados (login e senha) são criptografadas.
● Na realidade não é bem assim, já que através da página padrão, é possível obter o login em TEXTO PURO.
![Page 19: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/19.jpg)
O eBuddy
● URL principal: http://www.ebuddy.com
● Não possui documentação acerca de criptografia
● Política de privacidade assegura que as informações são transmitidas de forma segura
![Page 20: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/20.jpg)
![Page 21: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/21.jpg)
![Page 22: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/22.jpg)
“Nós tomamos as medidas de segurança para proteger suas informações pessoais. “
![Page 23: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/23.jpg)
Testando o eBuddy
Processo de captura com o SSL e TLS habilitados
![Page 24: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/24.jpg)
Testando o eBuddy
Login em texto puro e senha criptografada
![Page 25: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/25.jpg)
Testando o eBuddy
Login em texto puro e senha criptografada
![Page 26: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/26.jpg)
Testando o eBuddy
● A política de privacidade diz que transmite os dados (login e senha) de forma segura.
● Na realidade, o login e senha não são transportados de forma segura, para isso é recomendável utilizar SSL.
![Page 27: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/27.jpg)
O Windows Live Messenger Web
![Page 28: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/28.jpg)
O Windows Live Messenger Web
![Page 29: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/29.jpg)
O Windows Live Messenger Web
![Page 30: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/30.jpg)
O Windows Live Messenger Web
● URL principal: http://people.live.com
● Possui uma detalhada política de privacidade.
● Só é compatível com um protocolo
● Possui integração com e-mail
![Page 31: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/31.jpg)
![Page 32: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/32.jpg)
Testando o WLM Web
Processo de captura (Segurança Padrão)
![Page 33: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/33.jpg)
Testando o WLM Web
Utilizando forma opcional de acesso (Segurança Aprimorada), não recomendada por ser mais lenta
![Page 34: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/34.jpg)
Testando o WLM Web
● A política de privacidade diz que transmite os dados (login e senha) de forma segura.
● E assim ele faz, em todas as opções de segurança.
![Page 35: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/35.jpg)
Conclusões
● Meebo– SSL e TLS em modo seguro ( ineficiente)
– JavaScript em modo padrão ( ineficiente)● Ebuddy
– JavaScript em modo padrão ( ineficiente)
– Não há modo de segurança avançada● WLM Web
– HTTPS em modo seguro (eficiente)
– SSL e TLS em modo padrão (eficiente)
![Page 36: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/36.jpg)
Dúvidas?
![Page 37: Apresentação sobre WebMessengers](https://reader031.vdocuments.pub/reader031/viewer/2022020419/568bd9c11a28ab2034a835ac/html5/thumbnails/37.jpg)
Referências● Meebo
– http://www.meebo.com/security/
– http://www.meebo.com/privacy/full/● Ebuddy
– http://www.ebuddy.com/privacy.php● WLM Web
– http://privacy.microsoft.com/pt-br/default.mspx● JavaScript
– http://js.meebo.com/script/meebo_v82.js
– http://www.ohdave.com/rsa/
– http://anmar.eu.org/
– http://docs.jquery.com/Source_Code