ADTsys comprova que 72% dos principais sites governamentais, de e-commerce, corporativos e de time de futebol são vulneráveis a invasões, em especial por não seguirem padrões de proteção já conhecidos e estabelecidos mundialmente
Empresa de Campinas que é especialista em segurança em ambientes de nuvem e colaboradora da OWASP , entidade que contribui para a melhoria da segurança na rede, testou dez portais de cada área: entre os governamentais, possibilidade de captura de dados por injeção é de 90%; na maioria dos setores problemas de infraestrutura atingem 100%
Uma das principais preocupações das empresas ao decidirem migrar seus ambientes para Cloud Computing é a segurança dos dados neste serviço. E se por um lado a maioria dos provedores de Cloud Computing já resolveu este dilema com adoção de padrões internacionais de segurança, infelizmente a maioria dos portais brasileiros não segue os padrões estabelecidos mundialmente para desenvolvimento e manutenção, expondo vulnerabilidades nas aplicações ou softwares de infraestrutura como constatou a ADTsys em um estudo empírico realizado.
A ADTSys, empresa de Campinas especializada no setor, realizou um estudo com 40 grandes portais brasileiros para verificar se possuem vulnerabilidades já conhecidas, expondo os portais à ataques de hackers. O resultado foi impressionante: no geral, 72,5% deles estão vulneráveis e, entre os sites governamentais, há risco de captura de dados por meio de técnica conhecida como injeção de código ou por falta de criptografia na transmissão de dados.
“O grande dilema de muitas empresas para mudarem seus ambientes para nuvem hoje é estarem seguras e é importante reforçar que a segurança existe no cloud computing, desde que se sigam os padrões e normas já definidos para isso. O problema é que hoje, no Brasil, essa metodologia na maioria dos casos não está sendo colocada em prática. É preciso rever isso com urgência”, diz Pascoal Baldasso, diretor executivo da ADTsys.
O levantamento empírico realizado pelos especialistas da ADTSys foi realizado em um período de três meses, nos quais foram verificados 40 portais nas áreas governamental, e-commerce, corporativos e de times de futebol. Na área governamental foram verificados prefeituras de cidades, em sua maioria capitais, de dez diferentes estados. Em e-commerce, foram dez empresas que trabalham nacionalmente nas áreas de venda de livros, lojas de departamentos, eletro-eletrônicos, vendas gerais e hipermercados. Os sites corporativos incluem empresas de grande porte na área automobilística, agronegócios, aviação, eletroeletrônicos, investimentos, energia, tecnologia e até mesmo desenvolvimento de computadores e softwares – apenas um portal desta última área mostrou-se totalmente invulnerável.
Por fim, entre os times de futebol foram testados os portais de quatro times paulistas (entre os quais três dos chamados “grandes” do estado de São Paulo) e equipes do Rio de Janeiro, Santa Catarina, Minas Gerais e Rio Grande do Norte. “Simulamos a navegação nestes sites através de ferramentas específicas que enviam códigos prontos, conhecidos como assinaturas. As assinaturas servem para identificar se aquele portal possui ou não uma determinada vulnerabilidade conhecida. Nenhum acesso sem autorização ou alteração de dados foi executado. Na maioria dos casos, infelizmente, a resposta foi positiva”, explica Diego Altheman, diretor de novas soluções da ADTSys e um dos responsáveis pelos testes.
Altheman conta que no estudo as vulnerabilidades foram classificadas basicamente em dois grupos: as oriundas de desenvolvimento – que incluem, por exemplo, a escrita de códigos vulneráveis – e as de infraestrutura, onde são computadas ações que até deveriam ser de simples execução, como a atualização de softwares e componentes de segurança. Nos sites de e-commerce, também foi verificado o PCI, norma criada pelas operadoras de cartões de crédito Visa e Mastercard com o objetivo de reduzir o risco operacional envolvendo transações com cartões de crédito. Neste campo, uma notícia mais tranquilizadora: o índice de vulnerabilidade ficou em apenas 10%.
Por outro lado, a ADTsys averiguou que nenhum dos sites está completamente dentro dos padrões recomendados pela Open Web Application Security Project (OWASP), entidade sem fins lucrativos e de reconhecimento internacional que contribui para a melhoria da segurança de aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet. “A OWASP gera uma lista anual com os principais dez problemas de segurança de desenvolvimento. São critérios divulgados publicamente e vulnerabilidades amplamente conhecidas pela comunidade de tecnologia, problemas que são catalogados e que estão sendo ignorados no Brasil, gerando riscos totalmente desnecessários”, lamenta Altheman.
Casa sem portão
Na área de desenvolvimento, foram testados diversos tipos de vulnerabilidades possíveis (injeção de código, quebra de autenticação; XSS; referência insegura e diretas de objetos, controle de acesso; falsificação de solicitação entre sites). “Os índices de vulnerabilidade em desenvolvimento são preocupantes. Pelo método de injeção, por exemplo, seria possível atingir 90% dos sites governamentais, 80% dos de futebol e 60% dos de e-commerce e corporativos. Na prática, o hacker pode injetar dados e códigos naquele portal e, em casos extremos, capturar dados de todos”, diz Diego Altheman dos Santos.
Na área de infraestrutura – usar componentes com vulnerabilidades conhecidas, configuração incorreta de segurança, dados sensíveis expostos – há dados igualmente alarmantes. “Não há atualização dos sistemas operacionais e servidores de aplicação por exemplo. Para fazer uma analogia, imagine uma pessoa que usa por exemplo um sistema Windows, que tem um programa de update que atualiza as falhas já encontradas, de maneira automática ou com autorização do usuário. As empresas não atualizam. São vulnerabilidades conhecidas, uma simples atualização resolveria”, afirma Altheman.
Ele ressalta que ter uma vulnerabilidade não significa que o site obrigatoriamente vai ser invadido. “Eventualmente isso pode gerar um bug, por exemplo, uma tela de erro. Mas com certeza o risco de sucumbir a uma tentativa de ataque é maior. Um hacker explora a falta de atualização da infraestrutura e não seguir padrões de segurança facilita a vida dele, diminui o tempo de invasão. Ter infraestrutura desatualizada, inadequada aos dados, não é sinônimo de invasão, mas é, sim, um alto risco desnecessário: é como ter uma casa sem portão em uma cidade com grandes índices de roubo e furto à residência.”
Ainda na parte de infraestrutura, a ADTsys detectou, entre outros problemas, configurações incorretas de segurança e falta de atualização de frameworks, por exemplo. “Outra questão que preocupa é a exposição de dados sensíveis. Em vez de estarem protegidos por criptografia, por exemplo, são transmitidos sem nenhuma proteção, podendo ser capturados de forma fácil. Em um site de um time de futebol, por exemplo, por meio de uma técnica chamada sniffer são facilmente interceptados os dados de autenticação (usuário e senha) fornecidos para acessar as áreas restritas do portal.”
Na opinião de Pascoal Baldasso, diretor executivo da ADTsys, mais do que mostrar inseguranças que podem – e devem – ser solucionadas, o levantamento feito pela empresa deixa claro que o Brasil precisa ter uma maior consciência do que é segurança em termos de cloud computing. “Fica claro que o Brasil ainda está engatinhando e precisa ter mais maturidade nesta área, pois não tem o hábito de seguir padrões de segurança mundiais. Nenhum portal pesquisado se adequar ao padrão Owasp é um termômetro desta situação preocupante, que mostra que de maneira geral o país não está dando atenção devida à segurança na nuvem”, conclui.