A porta de entrada dos hackers

Levantamento efetuado pela Batori, desde 2006, aponta as 10 principais vulnerabilidades em aplicações Web.

Por mais que a tecnologia evolua e que se desenvolvam ferramentas para automatização de processos, nada ainda substitui o ser humano em determinadas tarefas, principalmente as que exigem inteligência. Isso vale em particular no desenvolvimento de um ambiente seguro em TI. Segundo o que constatou a Batori, empresa especializada em segurança da informação, hoje grande parte das vulnerabilidades estão concentradas em aplicações Web, notadamente na estrutura de banco de dados e na arquitetura dos programas.

“Grande parte das vulnerabilidades não são detectadas por ferramentas como scanners e analisadores de códigos e, quando analisadas, não têm a devida eficácia”, afirma RicardoKiyoshi, diretor da Batori. “Falhas desta natureza somente são identificadas e reparadas por profissionais experientes. Então os hackers se aproveitam dessas vulnerabilidades, que geram brechas, para invadir os sistemas”, diz.

Para alertar o mercado sobre o problema, a Batori realizou um levantamento, com dados reais baseados em projetos de análise de segurança desde 2006, e listou um ranking com os dez principais tipos de ataques baseados em vulnerabilidades nas aplicações Web. Esses ataques respondem por 89% dos casos avaliados: 1º - XSS Cros site scripting - 13% das ocorrências. Técnica de ataque que permite executar scripts maliciosos no navegador do usuário da aplicação vulnerável.

2º - Manipulação de dados ocultos - 13% das ocorrências. A aplicação vulnerável permite acesso indevido quando dados ocultos são manipulados indevidamente.

3º - Falha ao restringir acesso a URL ou funcionalidade - 11% das ocorrências. A aplicação não restringe adequadamente suas áreas restritas.

4º - Tratamento indevido de erro, revelação de informações sensíveis - 9% das ocorrências. A aplicação revela informações sensíveis através de uso não esperado.

5º - Armazenamento inseguro de criptografia - 9% das ocorrências. Dados sensíveis que precisam ser armazenados de forma criptografada estão em texto livre ou com criptografia inadequada.

6º - Comunicação insegura - 8% das ocorrências. A aplicação trafega dados sensíveis através de canis não-seguros.

7º - Falha da especificação de requisitos - 8% das ocorrências. Os controles de segurança que deveriam existir não existem devido a falha na especificação.

8º - Injeção de comandos - 8% das ocorrências. Técnica de ataque que explora injeção de comandos através de aplicação para ser processado por outros sistemas ou camadas. Por exemplo: SQL Injection, SMTP Injection, HTML Injection etc.

9º - Processo inadequado de cadastro de usuários - 5% das ocorrências. O cadastro de usuário deve seguir algumas recomendações de segurança, que se não forem seguidas, podem expor a aplicação a diversos incidentes.

10º Quebra de autenticação e gerenciamento de sessão - 5% das ocorrências. Aplicações vulneráveis permitem burlar o processo de autenticação através de gestão fraca de sessão ou procedimentos inseguros.

Outros ataques respondem por 11% das ocorrências - vide gráfico na URL http://www.batori.com.br/vulnerabilidade02.JPG

Perfil da Batori Software & Security - A Batori é uma empresa que presta serviços de inteligência em segurança da informação e difunde a cultura de segurança, contribuindo para a excelência nos negócios das corporações. A vasta experiência da Batori, aliada a uma equipe de profissionais de grande expertise, proporciona às empresas-clientes a obtenção de ambientes e de processos mais seguros e confiáveis, visando proteger suas informações, manter a continuidade das operações e viabilizar novas oportunidades de negócios. || www.batori.com.br