Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

02/06/2009 - Convergência Digital Escrever Comentário Enviar Notícia por e-mail Feed RSS

Vulnerabilidade de aplicativos Web é 'pesadelo' para gestores de TI


A Web Application Security Consortium (WASC) divulgou um estudo no qual um teste provou que 96,85% das aplicações corporativas Web possuem vulnerabilidades severas derivadas de falhas em seu desenvolvimento. Ainda de acordo com os dados da WASC, as vulnerabilidades predominantes são divididas em dois grupos.

Em geral, os problemas derivados de Cross-site Scripting (XSS) e SQL Injection ocorrem por erros do sistema, enquanto as falhas denominadas como Information Leakage e Predictable Resource Location ocorrem em função de uma administração imprópria do sistema, como nos casos de um fraco controle de acesso.

Para Alexandre Sieira, diretor operacional da Cipher, empresa full solution provider em segurança da informação, as vulnerabilidades de SQL Injection são especialmente perigosas por viabilizar adulteração ou vazamento de informações da base de dados interna utilizada pela aplicação.

No caso de um e-commerce, isto poderia significar o vazamento de informações sensíveis da base de clientes, como os dados pessoais ou de cartões de crédito. "Os ataques de SQL injection a aplicações web expostas à Internet representam um risco gravíssimo por combinar grande exposição, facilidade de exploração e impacto" afirma.

Manter a atualização das correções oferecidas pelo fabricante do aplicativo, utilizar firewall e IPS, não conceder direitos administrativos para aplicações da base de dados, utilizar application firewalls para o bloqueio de ataques na camada da aplicação e validar todos os usuários de aplicativos baseados na web são algumas das medidas sugeridas pelo especialista.

"As medidas usuais de segurança focadas na infra-estrutura e software básico, contudo, não são suficientes para aplicações desenvolvidas internamente ou únicas. Afinal, não haverá nenhum fabricante identificando vulnerabilidades e lançando atualizações de segurança para um sistema que apenas a sua companhia utilizada" explica Sieira.

"Nestes casos é necessário tratar da incorporação da segurança da informação no processo de desenvolvimento, iniciando com testes como a auditoria de código-fonte e testes de caixa-preta focados em segurança antes da aplicação ser colocada em produção", completa o diretor da Cipher.

Para desenvolvedores e empresas,as vulnerabilidades em aplicativos sempre foram relacionadas na lista de 'perigo máximo', mas foi o aumento do acesso aos aplicativos o responsável pela exploração desses erros em busca de vantagens financeiras.

Por isso, para colocar um e-commerce ou um aplicativo para acesso de colaboradores externos na Internet, o gestor deve estar ciente dos riscos de não verificar as possíveis vulnerabilidades. Segundo Alexandre Sieira, a grande maioria das falhas está na validação de entrada. "Os desenvolvedores precisam prever e se preparar para a inserção de um dado incorreto ou inesperado."

Um exemplo didático dessa situação é o de um Internet Banking que não exija que valores transferidos sejam números positivos. Neste caso simples, a inserção de números negativos, deixaria uma brecha para que um cyber criminoso realize uma transferência de mil reais negativos, o que matematicamente resultaria em um depósito de mil reais.

Fato é que, segundo Sieira, as vulnerabilidades, em sua maioria, são descobertas quando a fraude já aconteceu. "Pesadelo pior, só quando o gestor não sabe sequer que a fraude vem ocorrendo e quando descobrir o prejuízo pode ser grande demais" conclui o especialista.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 323 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal