Segurança em Aplicações

É muito comum encontrarmos artigos técnicos e não técnicos comentando sobre invasões em computadores, redes, certificados digitais SSL e sites seguros, afinal diante da infinidade de facilidades e benefícios que a internet nos traz, temos por trás o número de fraudes que cresce assustadoramente todos os dias, o que faz com que esses assuntos estejam sempre em alta.

Hackers ou crackers? Serão esses os grandes responsáveis por esse aumento no número de fraudes? Serão assim tão complexas as ações que permitem o aumento das estatísticas? Independente de como minha aplicação ou website for feito, se eu tiver um certificado digital SSL terei segurança? O que você realmente sabe sobre isso???

É importante sabermos que existem diferenças entre hackers e crackers, e que em grande parte das vezes que algum tipo de incidente ocorre, nenhum deles estava diretamente envolvido. Devido a vulnerabilidades existentes nos websites, aplicações, etc, basta que pessoas com o mínimo de conhecimento e um pouco de persistência vasculhem a web em busca de ferramentas que permitam identificar vulnerabilidades existentes e outras que permitam explorá-las e teremos mais um fato que irá contribuir para o aumento das estatísticas.

Enquanto o mercado se expande e várias empresas de todos os portes abrem portas na internet, um problema mais grave acaba muitas vezes esquecido, tornando-se um grande vilão, a segurança em aplicações web.

Chegando ao grande ponto dessa questão, nas aplicações a falta de segurança adequada é culpa do desenvolvedor e de quem não a exige. No e-commerce a culpa também é nossa, pois compramos sem pesquisar o suficiente e sem exigir do lojista as garantias adequadas, criando assim um ciclo contínuo que iria melhorar nossa vida digital. Devemos pesquisar mais, saber que um certificado digital SSL não garante a segurança do website, mas é estritamente necessário, que ao pensarmos em desenvolver algo devemos fazê-lo com um profissional que tenha conhecimento nesse assunto e que conheça e adote as melhores práticas de segurança, incluindo normatizações específicas como, por exemplo, o PCI – Payment Card Industry.

Temos acompanhado muitos testes realizados em websites diversos, e-commerces e institucionais, e muitos fóruns fechados que tratam do assunto, e o resultado não é nada agradável. Acompanhando uma estatística de 2007 onde um relatório indica que 90% das aplicações para web são vulneráveis, constatamos a veracidade desse fato em sites pequenos, médios e grandes, alguns muito conhecidos, outros pouco conhecidos, onde a base de dados estava completamente disponível. Infelizmente, muitos desses sites exibem um selo de “Site Seguro”, o que podemos afirmar com 100% de certeza de que isso não existe, nenhum ambiente é 100% seguro para essa afirmação, e para isso não falamos dos melhores hackers do mundo ou crackers, falamos de pessoas com pouco conhecimento em segurança que conseguem muitas vezes obter acesso a variados websites com a utilização de pouquíssimos recursos, e isso independente da linguagem e banco de dados utilizados.

Não raros são os casos onde usando apenas strings de validação como ‘or ‘ e alguns outros, membros de comunidades de segurança ou de hacking informam que conseguiram acesso ao banco de dados do website com poderes de administração, o grande problema nesse caso, os campos de autenticação.

A partir de hoje nosso objetivo nessa coluna será levar conhecimento a vocês, de modo a melhorar ainda mais a qualidade dos projetos desenvolvidos por cada um, como empresa ou profissional liberal, e apoiar no desenvolvimento de uma cultura de segurança mais atuante e presente em nosso mercado.

No próximo artigo, entraremos mais a fundo na parte técnica e de deveres e responsabilidades segundo nossa legislação, acompanhem.