Monitor das Fraudes - O primeiro site lusófono sobre combate a fraudes, lavagem de dinheiro e corrupção
Monitor das Fraudes

>> Visite o resto do site e leia nossas matérias <<

CLIPPING DE NOTÍCIAS


Acompanhe nosso Twitter

04/10/2010 - G1 Escrever Comentário Enviar Notícia por e-mail Feed RSS

Boas intenções de programadores podem criar falhas de segurança

Por: Altieres Rohr

É preciso malícia para perceber como algo pode falhar. Erros podem estar em comportamentos considerados 'funcionalidades'.

“It’s not a bug, it’s a feature”. A frase em inglês, que quer dizer “não é um problema, é uma funcionalidade (ou recurso ou conveniência)” explica um problema e uma mentalidade que existe na criação de softwares. Recursos, funcionalidades e “facilidades” são às vezes mal pensadas, e o que devia ser algo bom se transforma em um problema. O desenvolvedor, para se explicar, acaba soltando a desculpa (que não resolve nada) de que “it’s not a bug, it’s a feature”. Em alguns casos, o erro pode ser bem grave e, invariavelmente – por estar numa função intencional – é fácil de explorar.

Um dos erros mais graves desse tipo estava no processamento de imagens WMF e EMF do Windows. Esse formato de imagens é muito antigo e, na época em que os computadores tinham poucos recursos, ele foi “melhorado” com a capacidade de executar certos códigos.

O formato foi abandonado, e depois reintroduzido no Windows XP, sem uma revisão. Com isso, invasores conseguiram executar códigos maliciosos a partir de arquivos de fotos EMF e WMF no final de 2005. O erro era simples de ser explorado – por estar em um recurso legítimo do sistema – e muitos sites populares foram invadidos para servir imagens contaminadas. Na época, computadores não tinham acesso à internet, e esse “recurso” não era um problema na prática. Quando a falha começou a ser explorada, a Microsoft organizou uma equipe de 200 pessoas para consertar a vulnerabilidade.

Mais recentemente, o Tweet Button, que permite a usuários twittarem uma notícia ou artigo com um simples clique, foi alvo de um abuso por parte de um vírus. Os desenvolvedores não perceberam o problema em permitir que um clique já resultasse na postagem de um tweet.

Em alguns casos, é mais complicado perceber quando algo pode dar errado. O especialista Ronaldo Castro de Vasconcellos cita o cadastro da Nota Fiscal Paulista (NFP). De acordo com o programa da NFP, o consumidor pode receber parte dos valores pagos em produtos, via transferência ou auxílio no IPVA, caso forneça o CPF na hora da compra. Mas o sistema do governo que decide quem receberá o depósito solicita apenas três dados, que são validados: CPF, nome da mãe e data de nascimento. Tudo é feito eletronicamente e nenhum outro documento único de identificação é solicitado.

“Não é exatamente uma vulnerabilidade. O problema está em você poder assumir uma conta Nota Fiscal Paulista de outra pessoa com apenas três dados mais ou menos fáceis de serem obtidos”, explica Vasconcellos. “O dinheiro que se resgata não é muito, você precisa gastar bastante para ter um reembolso significativo. Mas um golpe poderia fraudar dezenas ou centenas de contas para ser lucrativo,” afirma. Nesse caso, a facilidade do cadastro – tida como algo positivo – pode criar um ponto fraco no sistema. Detalhe: créditos podem ser transferidos para outra conta NFP, permitindo o resgate de fundos mesmo por quem não possui uma conta bancária em nome do titular. Mais uma vez, uma facilidade pode ser uma dor de cabeça.

Voltando às redes sociais, um comportamento do Facebook tentava ajudar quem digitava o endereço de e-mail de forma incorreta. O site exibia dados da pessoa e tentava “sugerir” o e-mail correto – da mesma forma que mecanismos de busca fazem com os termos de pesquisa. Pesquisadores de segurança rapidamente viram que a “função” na verdade era muito útil para descobrir endereços de e-mails válidos.

A existência de links curtos, cujo destino não pode ser verificado, é um atestado para o fato de que usuários e desenvolvedores esquecem-se da segurança em nome da comodidade.

O especialista em segurança Bruce Schneier fala que esses descuidos dos programadores têm a ver com o “security mindset”, ou a mentalidade de segurança. Schneier cita uma empresa que vendia uma tinta especial, única, para “marcar” o patrimônio. Uma pessoa com a mentalidade de segurança pensaria: “e se eu comprar a tinta para pintar coisas de outras pessoas com ela e depois ligar para a polícia dizendo que fui roubado?”

Muitas ideias parecem excelentes fora da mentalidade de segurança, mas depois se revelam muito menos interessantes – e até prejudiciais. “Engenheiros pensam em como as coisas devem funcionar. Especialistas em segurança pensam em como elas podem falhar”, escreveu Schneier.

'Não é um problema, é uma conveniência', diz Visa sobre falha em site

Uma falha no site da promoção “Vai de Visa”, destinada a clientes de cartões de crédito e débito da mesma bandeira, apresenta um comportamento no qual um internauta que completar somente a primeira etapa do cadastro pode ter seus dados revelados. Após completar a primeira etapa, dados como RG, telefone, celular e endereço completo ficam disponíveis para quem souber o e-mail do usuário cujo cadastro não foi completado. O problema foi identificado por um leitor do G1.

A funcionalidade do site tem o objetivo de permitir que usuários que não completaram o cadastro consigam retomá-lo, sem precisar preencher os dados novamente – ou seja, o comportamento foi pensado como uma funcionalidade, como um recurso do site. Apesar da possibilidade de vazamento de dados, a Visa não considera que seja uma falha de segurança. “Não é um problema, é uma conveniência”, afirmou a empresa.

“A Visa nunca solicita informações sensíveis como dados bancários, número completo do cartão de credito, senha, código de segurança (CVV) ou CPF, aos participantes, mantendo assim a segurança do cliente em todos os momentos”, afirmou a companhia. Os dados revelados são nome completo, número de telefone fixo, celular, RG, data de nascimento e endereço. É preciso ter o endereço do e-mail do usuário que iniciou o cadastro para obter os dados.

Especialistas divergem se a falha é “de segurança”, mas concordam que é uma falha de design, ou seja, que a funcionalidade não foi bem pensada. “Eu vejo que foi uma falta de malicia mesmo de quem desenvolveu”, afirmou o pesquisador em segurança Ronaldo Castro de Vasconcellos.

O problema poderia ser solucionado se a segunda etapa do cadastro, que exige o preenchimento de respostas de segurança – que resguardam os dados – fosse incluída ainda na primeira etapa. Com isso, a comodidade seria mantida, sem o risco de ter dados roubados.

Vasconcellos acha que a Visa deveria dar mais atenção ao caso. “A postura da empresa com desenvolvimento de sistemas deveria ser a mesma com os outros ramos de atividade. Proteger os dados dos clientes é tão importante quanto proteger dados do cartão de credito, algo com que eles provavelmente se preocupam por causa de PCI [padrão da indústria para processamento de transações de cartão]”, diz.

“A vantagem de nós que trabalhamos com segurança é que vemos mal em tudo”, brinca o pesquisador para explicar por que alguns programadores criam “comodidades” que na verdade se revelam problemáticas, como essa da Visa.

“É uma falha, pois disponibiliza informações pessoais dos usuários e compromete a privacidade”, afirma o especialista Wagner Elias. Elias é Gerente de Pesquisa e Desenvolvimento da empresa de segurança Conviso e líder do capítulo brasileiro da OWASP, uma organização que busca divulgar conhecimentos sobre segurança em sites de internet.

Segundo Elias, a brecha é de “lógica e arquitetura”, porque, além de comprometer os dados do cliente, realiza validação de dados no lado do usuário (navegador do internauta), quando o certo seria realizar no próprio servidor da promoção. Para ele, a Visa teve uma “postura de desconhecimento dos riscos”, porque as informações vazadas poderiam ser usadas em um golpe de engenharia social (enganação) que permitira a um criminoso obter dados mais sensíveis, como o cartão de crédito.

Outras falhas

Há muitas brechas “bobas” em sites de internet que ocorrem por descuido de programadores. “Os recursos que compõem aplicações web 2.0 são pratos cheios para estas falhas”, afirma o especialista Wagner Elias.

O desenvolvimento rápido e a sede por novos recursos em sites web também leva a descuidos. Para Elias, há muitos recursos de segurança que são esquecidos ou mal empregados. Iniciativas como a OWASP buscam educar desenvolvedores, ensinando como proteger as aplicações web. O realizará inclusive uma conferência entre os dias 16 e 19 de novembro.

Mas, se conhecer as técnicas de proteção em programação é uma “arte” restrita para quem cria aplicações, a mentalidade de segurança pode ser aplicada por qualquer um, em qualquer situação. Tente pensar em como qualquer coisa pode falhar. Quando uma ideia parecer muito boa e prática, pense como ela pode ser “abusada”. Isso irá permitir avaliar melhor se um recurso é realmente desejável ou não.

Página principal do Clipping   Escreva um Comentário   Enviar Notícia por e-mail a um Amigo
Notícia lida 209 vezes




Comentários


Nenhum comentário até o momento

Seja o primeiro a escrever um Comentário


O artigo aqui reproduzido é de exclusiva responsabilidade do relativo autor e/ou do órgão de imprensa que o publicou (indicados na topo da página) e que detém todos os direitos. Os comentários publicados são de exclusiva responsabilidade dos respectivos autores. O site "Monitor das Fraudes" e seus administradores, autores e demais colaboradores, não avalizam as informações contidas neste artigo e/ou nos comentários publicados, nem se responsabilizam por elas.


Patrocínios




NSC / LSI
Copyright © 1999-2016 - Todos os direitos reservados. Eventos | Humor | Mapa do Site | Contatos | Aviso Legal | Principal