»Programação
»Programação.NET
»Banco de Dados
»Webdesign
»Office
» Certificações Microsoft 4
»Treinamentos4
»Programação 4
»Webdesign«
»Office & User Tips«
»Grupos de Usuários
»Células Acadêmicas«
intcontpiada : 118
Suporte Técnico
 
 
Faça um pequeno teste com 10 questões de VB
.:.
Teste seus conhecimentos em Visual Basic, SQL Server e ASP 3.0 com nossas provas on-line
.:.
Aprimore seus conhecimentos em programação com nosso treinamento on-line de lógica de programação
.:.
Veja nosso calendário de treinamentos
Gostou da Página?
Então

para um amigo!



Falha de segurança afeta centenas de sites de E-Commerce
O próximo site invadido será o seu

Enquanto todos estão atentos às falhas de segurança de rede, nos sistemas operacionais e servidores, tal como o servidor Web da Microsoft, um outro tipo de falha de segurança atinge em cheio o E-Commerce nacional, gerando uma situação que beira o caos : A falha de programação.

As empresas tem abusado consideravelmente no corte de custos, cortando onde não deviam : na qualificação profissional de seus funcionários. Um programador de sistemas client/server é um programador client/server, não web, mas as empresas tem aproveitado profissionais de outras áreas de programação para o desenvolvimento web, ou até mesmo pego autodidatas em desenvolvimento web para realizar o desenvolvimento, gerando o caos.

Isso porque a arquitetura da web é consideravelmente diferente das demais arquiteturas conhecidas por um programador e difere justamente no controle da segurança. Um programador VB ou um profissional autodidata, com poucas excessões, não está acostumado com as checagens de segurança que precisam ser feitas em uma aplicação web, nem tem noção da gravidade de não realizá-las. Assim sendo, o programador pode até fazer a aplicação funcionar, porém para uma aplicação web isso não é suficiente. Um programador não especializado no desenvolvimento web além de fazer a aplicação perder escalabilidade, sacrificando os servidores (o que é menos grave, já que o prejuizo disso é da própria empresa), deixa grandes brechas em seu código para que ocorra uma invasão do site.

Estas falhas de desenvolvimento geram brechas de segurança muito mais graves do que as que tem custado pequenas fortunas às empresas. Basta analisar as últimas brechas de seguranca noticiadas tanto para ambiente Microsoft como para ambiente Linux : Quantas pessoas teriam conhecimento técnico para explorá-las ? Muitas brechas de segurança exigem um grande conhecimento de redes e muitas vezes também de programação para poderem ser exploradas.

Isso não acontece com as falhas de programação das quais estou falando. Qualquer um que tenha lido algum pequeno texto explicativo sobre as mesmas consegue entrar em muitos bancos de dados de sites de E-Commerce conhecidos nacionalmente. Basta utilizar alguns truques em caixas de entrada de dados para obter dados do banco de dados ou até mesmo destruí-lo. A simplicidade da falha e o volume de sites afetados tornam a falha gravíssima. Caixas de login são o principal (mas não único) alvo. O invasor - Não posso nem ao menos chamá-lo de hacker, pois não precisa da qualificação técnica que este tem - através de truques na caixa de login, pode logar-se em um site como se fosse outro usuário qualquer, utilizando o recurso "alterar cadastro" que todo site disponibiliza para obter informações pessoais sobre outros usuários e até mesmo alterá-las.

A situação torna-se ainda mais grave devido a um bug no excelente (sem trocadilho, é muito bom) software de desenvolvimento da Macromedia, o Ultradev : A criação de um login no Ultradev é feita automaticamente, sem que o pseudo-programador precise utilizar código. Porém esta criação automática já trás em seu código uma falha de segurança que torna o login vulnerável a qualquer invasor na Web. Com certeza milhares de incautos estão com seus sites on-line e dormem confiantes de que tem um serviço seguro.

Se isso não bastasse, a reação das empresas à falha é mais um fator agravante do problema. Selecionei 20 empresas, algumas muito conhecidas, e as avisei da existência da falha em seus sites. Algumas simplesmente não responderam. Nenhuma se interessou em uma consultoria para checagem de segurança de seu site e apenas 1 (sim, 1, 5%) conseguiu resolver o problema sem ajuda.

A corrida pela colocação de serviços on-line tem levado as empresas a fazerem sites cada vez mais rapidamente, levando ao ar sites minimamente funcionais. A primeira coisa que é cortada do cronograma de projeto (se é que chega a entrar) é a checagem de segurança da aplicação desenvolvida.

Que as empresas cortem custos em sua mão de obra interna, é aceitável. Mas isso deve ser feito sabiamente, contratando-se uma consultoria externa para que, depois da aplicação pronta, possa haver uma análise do produto desenvolvido e possam ser feitas correções, especialmente no tocante a segurança.

Este assunto não é novo. Há um ano um programador foi preso por tentar explorar esta falha, mas o assunto não ganhou a devida repercursão, foi noticiado pelo jornal "estado de S.Paulo", a notícia pode ser encontrada em http://www.estado.estadao.com.br/suplementos/info/2001/04/02/info034.html e em http://www.estado.estadao.com.br/suplementos/info/2001/04/02/info022.html .

Mas nada disso abalou as empresas, que continuam deixando os dados de seus usuários a mercê de qualquer invasor. Pode-se fazer mais uma tentativa. Em http://www.bufaloinfo.com.br/seguranca/tecnica.asp fiz um documento explicando em detalhes, passo a passo, como funciona esta falha de segurança. Espero que isso assuste as empresas de E-Commerce e estas tomem alguma providência séria.

Às empresas, fica minha recomendação de utilizarem consultorias externas para checarem a segurança de seus sites. Todo projeto web, sem excessão, deve passar pela etapa de checagem de segurança. A minha empresa, Búfalo Informática, passou a realizar este serviço e a fornecer um atestado de segurança para a programação do site. Veja mais informações em http://www.bufaloinfo.com.br/seguranca/seguranca.asp

Aos usuários só posso recomendar que não usem E-Commerce, até que eles comprovem serem realmente seguros. Cobrar das empresas que obtenham o atestado de segurança que mencionei acima pode ser um bom passo.

Aos programadores, que conscientizem-se de que a arquitetura web é diferente das demais e que precisa ser cuidadosamente estudada para que seja possível desenvolver uma solução realmente escalável e segura.

Para amenizar o problema da identificação de um profissional qualificado a Búfalo Informática (http://www.bufaloinfo.com.br) lançou uma certificação para desenvolvedores ASP, gratuita, cuja prova pode ser feita on-line pelo site da Búfalo. Pode ser uma boa opção tanto para empresas como para profissionais para amenizarem o problema da qualificação profissional.

A todos, só posso assustá-los citando um, e apenas um, nome de site no qual encontrei o bug : MSDN Brasil - http://www.microsoft.com/brasil/msdn . Não posso citar outros pois criaria um caos no E-commerce nacional, mas devo destacar que além de sites famosos de E-Commerce a lista inclui sites técnicos de programação e até mesmo - pasmem - sites técnicos sobre desenvolvimento web, uma lista considerável que chega a dar a impressão que o assunto E-Commerce não está sendo levado a sério pelas empresas, é tudo apenas uma grande brincadeira.

Sim, assustem-se todos e acordem. O próximo site a ser invadido será o seu.

Dennes Torres
MCSD,MCSE,MCDBA


:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Saiba mais sobre o assunto lendo:

:::.. Falhas de Segurança na programação
:::.. Verificando a Segurança do Site
:::.. Segurança Máxima de Software - Como Desenvolver Soluções Seguras

.........
Lançamento Búfalo Informática

:::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::::

Conheça mais sobre o nosso site :



Quer saber mais?
Faça um curso na Búfalo Informática, Treinamento e Consultoria e
Prepare-se para o Mercado!
Veja o que a Búfalo tem para você.

� Búfalo Informática, Treinamento e Consultoria - Rua Álvaro Alvim, 37 Sala 920 - Cinelândia - Rio de Janeiro / RJ
Tel.: (21)2262-1368 (21) 9240-5134 (21) 9240-7281 e-Mail:
contato@bufaloinfo.com.br