.
Exclusivo Cinco pesquisadores chineses examinaram as configurações de quase 14 mil sites governamentais em todo o país e encontraram lapsos preocupantes que poderiam levar a ataques maliciosos, de acordo com um estudo ainda não revisado por pares divulgado na semana passada.
Os autores, todos do Harbin Institute of Technology, descreveram o estudo como um exame minucioso “dos desafios de segurança e dependência que cercam a infraestrutura web governamental da China”. Eles afirmam ter revelado “vulnerabilidades e dependências substanciais que poderiam impedir a eficácia digital e a segurança dos sistemas web governamentais”.
Os pesquisadores consideraram a resolução de nomes de domínio, a utilização de bibliotecas de terceiros, serviços de Autoridade de Certificação (CA), serviços de Rede de Entrega de Conteúdo (CDN), Provedores de Serviços de Internet (ISP), a adoção de HTTPS, integração IPv6, Extensões de Segurança do Sistema de Nomes de Domínio ( implementação de DNSSEC) e desempenho do site.
O jornal encontrou muitos problemas.
Descobriu-se que mais de um quarto dos nomes de domínio usados por sites do governo chinês não possuem registros de servidor de nomes (NS), o que significa que é possível que eles não tenham uma configuração DNS eficaz e possam não ser confiáveis ou ser inacessíveis.
Outra descoberta foi uma “dependência notável” de cinco fornecedores de serviços DNS – uma falta de diversidade que poderia abrir a infra-estrutura de rede a pontos únicos de falha.
“No caso de um problema técnico, ataque cibernético ou ação regulatória que afete um desses principais provedores, uma parte significativa da infraestrutura DNS poderá ser comprometida, impactando a acessibilidade e a segurança em uma ampla área”, escreveram os pesquisadores.
Além disso, 4.250 dos sistemas usavam versões da biblioteca jQuery JavaScript que são vulneráveis ao CVE-2020-23064 – o que significa que estavam abertos a um ataque remoto que tem sido um problema conhecido há cerca de quatro anos.
E embora se tenha descoberto que os ISPs utilizados por websites governamentais têm uma distribuição geográfica moderadamente distribuída, os investigadores sugeriram que a redundância do servidor ficou aquém do necessário para uma segurança e fiabilidade ideais.
“Entre os ISPs, China Mobile, China Telecom, China Unicom e Alibaba Cloud ocupam 98,29 por cento do mercado”, concluiu a equipe, que explicou que “se um dos ISPs sofrer uma falha ou ataque, toda a rede poderá ser afetada”. , causando interrupções generalizadas no serviço.”
Os pesquisadores também encontraram uma lista de assinaturas DNSSEC não assinadas – embora 101 registros de subdomínios tivessem registros RRSIG (Resource Record Signature).
“Essa discrepância sugere que, embora registros DNS específicos possam ter sido assinados, tais assinaturas podem não ser representadas com precisão no banco de dados whois ou, alternativamente, a assinatura pode ser limitada a determinados subdomínios, em vez de abranger todo o domínio”, explicaram os autores.
E, finalmente, uma análise do Zed Attack Proxy (ZAP) descobriu:
- 10.187 sites não foram configurados com o
X-Content-Type-Optionscabeçalho, o que pode torná-los vulneráveis a ataques de falsificação do tipo MIME; - 10.323 os sites não definiram o cabeçalho da Política de Segurança de Conteúdo (CSP), o que pode aumentar o risco de ataques de script entre sites;
- 8.182 os sites não tinham tokens anti-CSRF, tornando-os vulneráveis a ataques de falsificação de solicitação entre sites (CSRF);
- 3.203 os sites incluíram Diretivas Wildcard em suas políticas de segurança de conteúdo;
- 8.158 os sites não tinham cabeçalhos anti-clickjacking, tornando-os mais vulneráveis a ataques de clickjacking;
- 3.313 sites não ativaram cookies para o
HttpOnlybandeira; - 6.624 os biscoitos não tinham o
SameSiteatributo, que pode colocar os cookies em risco de acesso indevido; - 1.069 sites vazam informações sobre endereços IP privados, o que pode revelar informações confidenciais sobre a arquitetura do sistema.
Os pesquisadores concluíram que a investigação descobriu “problemas urgentes de segurança e dependência” que podem não ter uma solução rápida.
“Apesar das análises minuciosas, soluções práticas para reforçar a segurança destes sistemas permanecem ilusórias”, escreveram os investigadores. “Sua suscetibilidade a ataques cibernéticos, que poderiam facilitar a disseminação de conteúdo malicioso ou malware, ressalta a necessidade urgente de monitoramento em tempo real e detecção de atividades maliciosas”.
O estudo também destaca a necessidade de “verificação rigorosa e atualizações regulares” de bibliotecas de terceiros e defende “uma distribuição diversificada de nós de rede, o que poderia aumentar substancialmente a resiliência e o desempenho do sistema”.
O estudo provavelmente não será bem recebido em Pequim, já que o governo da China tem instado melhorias nos serviços e aplicativos digitais do governo e muitas vezes emite decretos sobre como melhorar a segurança cibernética. ®
.
