Luiz Paulo Bellini Junior

Bacharel em Relações Internacionais, com MBA em Gestão de Negócios e Especialização em Marketing Digital com ênfase em Search e Analytics, certificado pelo Google. Atualmente é diretor executivo da AW Digital. Fundador do site MundoRI.com e organizador do livro "O Mundo das Relações Internacionais: Opinião e Reflexão", publicado em 2009, pela Editora Aduaneiras. Assuntos desta Coluna: Empreendedorismo, Marketing Digital e Tecnologia.

10/09/2013

Não permita que invadam seu website

Neste espaço, no mês passado, debatemos o assunto de ciberespionagem – muito em voga no primeiro semestre do ano. Como desdobramento do tema, nesta edição tratarei de algo mais micro, porém, consideravelmente perigoso para as empresas brasileiras: falha de segurança em aplicações web.

As falhas de segurança sempre existiram e sempre existirão, mas o volume de invasões tem crescido no mesmo ritmo que a evolução dos “selos de segurança”. Para ter uma ideia do perigo, em 2012 o website da Site Blindado foi invadido por crackers - indivíduo que pratica a quebra (cracking) de um sistema de segurança. Uma empresa que oferece serviço de proteção em websites não conseguiu proteger a si mesma. O que diria José Simão nesta situação? Estamos no “país da piada pronta”.

Um interessante artigo intitulado “O próximo site invadido será o seu” (Dennes Torres) demonstra em detalhes as falhas de programação que geram graves brechas de segurança. O motivo principal é a falha de Injeção de SQL – aquela que se aproveita de erros em sistemas que interagem com bases de dados via SQL. A “injeção” ocorre quando o invasor consegue inserir instruções em uma área de entrada de dados, ou seja, uma área de login, por exemplo.

Então, dado o contexto acima, o que as empresas podem fazer para solucionar este problema e qual é o papel dos programadores a respeito?

No que tange às empresas, o primeiro passo é simples: verificar se na proposta de criação e desenvolvimento web consta o item “segurança contra invasão”, ou algo similar. Existem diversos sistemas com versões gratuitas (e boas) para verificação de padrões mínimos de segurança. Um deles é o Nessus (Nessus.org).

O segundo passo é adquirir um selo de segurança que dê garantias em caso de invasão. Por último, para projetos que necessitam de um nível maior de cautela, recomendo investir em uma consultoria especializada que implemente a segurança e dê manutenção – este é o caso de projetos que lidam com informações de terceiros, como empresas que mantém dados pessoais e confidenciais de clientes. O investimento inicial é maior, mas é recompensador no longo prazo. Ainda, se algo acontecer, há um terceiro envolvido (o prestador do serviço) para dar suporte emergencial.

No terreno dos programadores, encontramos algo mais espinhoso, pois existem dois tipos: o primeiro é aquele que descobre o erro e avisa (ou tenta avisar) a instituição. Caso esta não responda, o caso é colocado na mídia – como aconteceu com a Telefonica em 2009, quando Vinícius Camacho Pinto descobriu que uma falha no site da empresa expunha o banco de dados com informações de clientes, tornando as mesmas passíveis de serem exportadas por criminosos. “Normalmente uma empresa multinacional dificilmente atende hackers”, comentou Vinícius à época. Por isso, ele resolveu notificar a imprensa. Após isso, a Telefonica resolveu o problema em poucas horas.

O outro tipo é o criminoso de verdade. Como principal característica, este não faz parte da comunidade de segurança da informação. Ele circula pelo universo underground, ou na deep web, trocando informações pelos fóruns IRC (Internet Relay Chat) - protocolo de comunicação utilizado como bate-papo e troca de arquivos, permitindo a conversa em grupo ou privada. Há indícios de redes de criminosos que utilizam o IRC para se organizarem.

Por isso, cuidado. Caso você seja uma empresa, siga os passos recomendados acima. Caso você seja um programador, não vá para o “Lado negro da Força”.

------
Quais são os temas que você mais gostaria de ler aqui? Envie um email para bellini@awdigital.com.br com sua opinião.

+ Artigos Postados

Agenda+

Agenda // Cursos e Eventos

Curso Inteligência Comercial para o Mercado Internacional

Cidade: São Paulo
Data: 08 de outubro de 2016
Horário: 09h00 às 17h00
Inscreva-se

Mais lidas