São Paulo, 02 de junho de 2009 – Não importa o tamanho da companhia, seja uma grande corporação ou uma micro empresa familiar, o software se transformou em ferramenta essencial. Contudo, as falhas presentes nos aplicativos corporativos podem levar a problemas de grande complexidade, além de prejuízos para a empresa e para sua base de clientes. De acordo com a Web Application Security Consortium (WASC), 96,85% das aplicações web de negócios testadas possuem vulnerabilidades severas derivadas de falhas em seu desenvolvimento.
Ainda de acordo com os dados da WASC, as vulnerabilidades predominantes são divididas em dois grupos. Via de regra, os problemas derivados de Cross-site Scripting (XSS) e SQL Injection ocorrem por erros do sistema, enquanto as falhas denominadas como Information Leakage e Predictable Resource Location ocorrem em função de uma administração imprópria do sistema, como nos casos de um fraco controle de acesso.
Segundo Alexandre Sieira, diretor operacional da Cipher – empresa full solution provider em segurança da informação – as vulnerabilidades de SQL Injection são especialmente perigosas por viabilizar adulteração ou vazamento de informações da base de dados interna utilizada pela aplicação. No caso de um e-commerce, isto poderia significar o vazamento de informações sensíveis da base de clientes, como os dados pessoais ou de cartões de crédito.
“Os ataques de SQL injection a aplicações web expostas à Internet representam um risco gravíssimo por combinar grande exposição, facilidade de exploração e impacto” afirma Sieira.
Manter a atualização das correções oferecidas pelo fabricante do aplicativo, utilizar firewall e IPS, não conceder direitos administrativos para aplicações da base de dados, utilizar application firewalls para o bloqueio de ataques na camada da aplicação e validar todos os usuários de aplicativos baseados na web são algumas das medidas sugeridas pelo especialista.
“As medidas usuais de segurança focadas na infra-estrutura e software básico, contudo, não são suficientes para aplicações desenvolvidas internamente ou únicas. Afinal, não haverá nenhum fabricante identificando vulnerabilidades e lançando atualizações de segurança para um sistema que apenas a sua companhia utilizada” explica o especialista, que ainda complementa, “Nestes casos é necessário tratar da incorporação da segurança da informação no processo de desenvolvimento, iniciando com testes como a auditoria de código-fonte e testes de caixa-preta focados em segurança antes da aplicação ser colocada em produção.”
Aplicativos baseados na web
Vulnerabilidades em aplicativos sempre representaram uma problemática para desenvolvedores e empresas, mas foi o aumento do acesso aos aplicativos o responsável pela exploração desses erros em busca de vantagens financeiras. Por isso, para colocar um e-commerce ou um aplicativo para acesso de colaboradores externos na Internet, o gestor deve estar ciente dos riscos de não verificar as possíveis vulnerabilidades.
Segundo Alexandre Sieira, a grande maioria das falhas está na validação de entrada. “Os desenvolvedores precisam prever e se preparar para a inserção de um dado incorreto ou inesperado.”
Um exemplo didático dessa situação é o de um Internet Banking que não exija que valores transferidos sejam números positivos. Neste caso simples, a inserção de números negativos, deixaria uma brecha para que um cyber criminoso realize uma transferência de mil reais negativos, o que matematicamente resultaria em um depósito de mil reais.
Prevenir ou apagar incêndios
Grande parte das vulnerabilidades são descobertas quando a fraude já foi realizada e então uma investigação é realizada para descobrir o ponto de partida do rombo financeiro. “Pesadelo pior, só quando o gestor não sabe sequer que a fraude vem ocorrendo e quando descobrir o prejuízo pode ser grande demais” afirma o especialista.
“A única forma responsável de lidar com as vulnerabilidades em aplicativos é, antes da implantação, basear-se no desenvolvimento seguro da aplicação, com uma abordagem sistêmica e integral focada em segurança. Posteriormente à implantação, utilizar soluções específicas de monitoramento e bloqueio de ataques na camada de aplicação, como application firewalls, e realizar testes de vulnerabilidades e de invasão de forma regular e independente” conclui o gerente de projetos da Cipher.
Sobre a Cipher
A Cipher é uma empresa especializada em segurança da informação. Atualmente presta serviços nas áreas de GRC (Governança, Gestão de Riscos e Compliance), Resposta a Incidentes e Análise Forense, Auditoria e Homologação da Segurança de Sistemas, SaaS (Software as a Service), Outsourcing, Venda e Integração de Produtos. Além disso, a empresa realiza trabalhos como monitoramento remoto em tempo real por meio de seu SOC (Security Operaton Center), oferece suporte remoto ou presencial e manutenção preventiva, soluções de MSS (Managed Security Services), completando o leque de soluções em segurança da informação.
Com escritórios em São Paulo, Rio de Janeiro e Brasília, a Cipher é hoje a corporação que mais cresce no setor, se posicionando como uma das maiores do segmento, e possui alto reconhecimento do mercado pela qualidade das suas soluções. Sua equipe altamente qualificada possui certificações nacionais e internacionais, como CISSP, CISA, CISM, Auditor Líder ISO 27001, PCI QSA e ainda destaque pelo pioneirismo nas certificações da empresa como PCI QSA e PCI ASV. Entre os clientes da empresa estão grandes corporações como Petrobrás, Gol Linhas Aéreas, Banco Central, Banco Itaú, Visanet, Oi, TIM e Brasil Telecom.
Para saber mais acesse: www.ciphersec.com.br