Cookies: como eles podem afetar sua segurança

Publicado

Por

Bruno Reynaud

Artigo elaborado por Bruno Reynaud e Caio Pereira, Sales Engineers da Dfense Security.

Os cookies se tornaram algo natural durante nossa experiência na web. Esses pequenos arquivos armazenados em nossos computadores desempenham um papel fundamental para melhorar a navegação e fornecer informações importantes aos sites que acessamos diariamente.

Se trata de um fragmento de dado de um website que é armazenado no browser. Isso para que o site possa requisitar a informação no futuro. Geralmente são utilizados para informar aos servidores que os usuários retornaram a determinado website.

Ainda possibilitam a publicidade segmentada, tornando as campanhas de marketing mais eficientes, pois os anúncios são direcionados com base nos interesses e comportamentos dos usuários. Por fim, eles têm uma função de autenticação, que permite aos usuários permanecerem logados em suas contas, evitando a necessidade de digitar suas credenciais repetidamente.

Responsáveis por fornecerem informações valiosas aos proprietários de sites, os cookies possibilitam por meio da análise de tráfego, auxiliar o entendimento de quais páginas são mais populares.

Um dos principais pontos positivos dos cookies é a personalização da experiência do usuário. Com a ajuda desses pequenos arquivos, os sites se adaptam às preferências individuais, mostrando conteúdos relevantes e sugerindo produtos e serviços com base no histórico de navegação.

Sabe quando você está há horas fazendo compras em um site e fecha o navegador sem querer? Bateu um desespero de perder todos os itens do carrinho? Então você percebe que, mesmo sem estar logado, reabre o navegador e os itens ainda estão no carrinho em um passe de mágica. Pois é, são os cookies que permitem isto.

No entanto, enquanto desfrutamos dos benefícios que os cookies trazem, é vital estar ciente dos riscos associados a possíveis ataques cibernéticos. Cibercriminosos podem usar os cookies para aprender sobre perfil do usuário e detalhes privados, tentando assim roubá-los.

Com a evolução da segurança para identidades e a adoção de técnicas que tornam a autenticação mais robusta, como por exemplo o múltiplo fator de autenticação, os atacantes precisaram se adaptar e ressurgir com técnicas antigas, como o “Cookie Hijacking” mas agora com um objetivo diferente.

“Por fim, eles têm uma função de autenticação, que permite aos usuários permanecerem logados em suas contas, evitando a necessidade de digitar suas credenciais repetidamente.”

Lembra da informação acima no início do texto? Isto é possível por conta dos tokens de sessão, criados através dos Cookies.

Ninguém gostaria de precisar fazer login toda vez que retornar a um aplicativo em um dispositivo confiável. No entanto, essa conveniência também traz à tona um potencial risco: um usuário mal-intencionado que tenha acesso aos cookies de suas sessões em aplicativos (O Globo, Office 365, Gmail) pode criar um novo token de sessão e se passar por você, tudo isso sem precisar conhecer sua senha ou acessar o código MFA em seu smartphone. É como ter uma chave mágica que abre a porta, mas também pode ser usada por um hacker.

Existem algumas formas de extrair os cookies de seus computadores, aqui listamos os quatro principais:

Malware Injection:

As injeções de malware são ataques cibernéticos em que binários maliciosos são inseridos em sites confiáveis, link patrocinados forjados, e-mails forjados e etc. Esse tipo de ataque ocorre quando cibercriminosos injetam binários maliciosos no computador da vítima, onde o malware consegue sem privilégios administrativos realizar o dump de todas as informações do navegador. O navegador da vítima executa os binários maliciosos e como resultado, todas as informações do navegador da vítima, incluindo os cookies, são enviadas para o cibercriminoso.

Cross-site Scripting (XSS):

O Cross-site Scripting, conhecido como XSS, envolve a inserção de código malicioso em sites confiáveis. Nesse ataque, os criminosos injetam scripts maliciosos no conteúdo do site-alvo, que são entregues ao navegador da vítima juntamente com o conteúdo dinâmico. O navegador executa esses scripts maliciosos sem perceber que são potencialmente perigosos, permitindo que os scripts acessem informações sensíveis, como cookies e tokens de sessão. Isso pode ser usado para roubar credenciais de usuários, bem como espalhar malware, modificar conteúdos de páginas e causar problemas em mídias sociais.

Packet Sniffing:

Packet Sniffing é uma técnica usada para interceptar e monitorar o tráfego de rede, a fim de obter informações sensíveis que trafegam entre dispositivos. Os atacantes utilizam programas ou ferramentas de captura de pacotes para monitorar o tráfego de dados em uma rede, incluindo senhas, dados de login, informações pessoais e outros dados confidenciais. Essa técnica pode ser especialmente perigosa em redes não criptografadas, onde os dados trafegam em texto claro, tornando-os facilmente legíveis para os atacantes. Os pacotes capturados podem ser analisados para obter informações valiosas, permitindo que os cibercriminosos realizem ataques adicionais ou comprometam a segurança dos sistemas. Portanto, é essencial utilizar protocolos de segurança, como SSL/TLS, a fim de criptografar o tráfego de rede e evitar o Packet Sniffing.

Session Fixation:

A Session Fixation é um tipo de ataque em que a pessoa mal-intencionada define ou fixa a identificação da sessão de um usuário antes mesmo de este se autenticar em um sistema. Isso pode ser feito fornecendo um link ou redirecionamento contendo um ID de sessão malicioso. Quando o usuário clica nesse link e faz login no sistema, a sessão maliciosa é ativada. O atacante pode, então, assumir o controle da sessão do usuário e acessar informações confidenciais. Esse tipo de ataque é possível quando o sistema não regenera a ID da sessão após o login, possibilitando que o ID fornecido pelo atacante seja considerado válido.

Proteja seu visitante
Para proteger nossas informações e evitar riscos de ataques cibernéticos envolvendo cookies, é essencial adotar medidas preventivas. Algumas dicas valiosas incluem a implementação de criptografia adequada, garantindo que os sites utilizem protocolos de segurança, como o HTTPS, para proteger a transmissão de cookies entre o navegador e o servidor. Além disso, as empresas devem informar claramente aos usuários quais informações os cookies coletam e obter o consentimento dos usuários antes de armazenar qualquer dado. Restringir o escopo dos cookies para o mínimo necessário e evitar o armazenamento de informações sensíveis também é uma medida recomendada. Mostra-se importante configurar o tempo de vida dos cookies para que eles expirem após um período adequado, reduzindo a exposição a possíveis ataques.

Se proteja

Do ponto de vista do usuário, sempre preste atenção antes de aceitar cookies. Os sites são obrigados a colocar um aviso e deixar claras suas políticas de privacidade. Alguns permitem a escolha do que compartilhar ou não. Na dúvida, não aceite o uso de cookies pelo site ou por terceiros.

Outra dica valiosa é explorar as opções de privacidade do navegador (Edge, Chrome, Mozilla e outros). Nas configurações, na opção de “Privacidade e Segurança” é possível ajustar o bloqueio de cookies. Também preste atenção a pedidos como os de localização, na dúvida bloqueie.

Ainda, verifique o cadeado ao lado do endereço do site. Se não tiver habilitado a segurança por certificado HTTPS, evite utilizar. Você ainda pode ver a lista de cookies em utilização pelo site e bloquear manualmente os cookies indesejados.

Para organizações e níveis mais avançados de segurança, existem soluções que controlam privilégios de aplicações e usuários em dispositivos, onde este controle evita a utilização de cookies por usuários / aplicações não autorizadas.

Em conclusão, ao adotar práticas seguras e conscientes, podemos desfrutar dos benefícios dos cookies sem comprometer nossa proteção na internet.

[the_ad id=”6545″]

Bruno Reynaud

Especialista em segurança para identidades, possuo mais de 10 anos de experiência no mercado de TI. Fui responsável por projetar e implementar diversos projetos de proteção de acessos privilegiados, identidades e governança para grandes empresas do Brasil, dentre principais ramos de atuação: ISP’s, Industria petrolífera, Bancos, Tribunais, Seguradoras, Entre outros

Linkedin: https://www.linkedin.com/in/bruno-reynaud/