Do total de vulnerabilidades reveladas no primeiro trimestre de 2008, 70% estavam em aplicativos online, revelou um estudo da Cenzic. Além disso, sete em cada dez aplicativos online estão abertos a ataques de Cross-site Scripting (XSS).
O melhor então é parar de usar aplicativos que rodam na web? A resposta é não. “A vulnerabilidade ocorre, antes de tudo, quando eu abro a comunicação de minha máquina com a internet”, exemplifica o gerente de engenharia de sistemas da McAfee, José Antunes.
Pois é, não é novidade para ninguém que a partir do momento em que o computador está conectado, há ameaças. Antunes lembra que um PC com Windows desatualizado pode ser invadido em 4 minutos após se conectar à web, segundo o SANS Institute.
As falhas mais comuns de aplicativos online, portanto, estão diretamente ligadas aos bugs explorados por crackers em sites com vulnerabilidades.
O relatório da Cenzic aponta que os aplicativos da web são afetados, principalmente, por vulnerabilidades na Injeção SQL e Cross-site-scripting (XSS), responsáveis por 27% e 24%, respectivamente, do total de ataques.
Entenda as falhas mais exploradas
Um ataque de Injeção SQL (structured query language) explora a camada que abriga a base de dados do código SQL.
“Geralmente, os crackers fazem testes para descobrir que site possui a falha. Se a versão não for atualizada, é possível enviar pela URL uma linha de comando SQL, que será executada pelo banco de dados do aplicativo. Se houver falha, ele retorna a informação para mim”, explica Antunes.
Com o mesmo princípio, a estrutura de um aplicativo é estudada para saber se há a possibilidade de efetuar um ataque de XSS. “Eu jogo um comando e o site me mostra se há falha”, diz o engenheiro. “Pode ser no código, na extensão da URL e incluindo scripts”, afirma.
Outra vulnerabilidade que paira entre as mais exploradas é a dos controles ActiveX - no último trimestre de 2007, estas lideraram o ranking de ameaças, segundo a Cenzic.
Ao navegar usando o Internet Explorer, é comum que o usuário que usa o Windows receba mensagens perguntando se deseja instalar um controle ActiveX. Eles são válidos para que um aplicativo funcione no browser.
“Quando eu entro no fotos.com, por exemplo, o browser vai validar o controle em uma lista de provedores e assinaturas digitais, para saber se ele realmente foi feito por determinada empresa. O usuário então, confirma - e, mesmo se mostra que está vencido e ele acha o site confiável, acaba clicando em ‘sim’ para visualizar a página”, conta Antunes.
Aí é que mora o perigo. O ataque entra em ação quando na verdade você acha que está aceitando apenas um ActiveX, mas este pode vir acompanhado de - ou ser o próprio - malware. “Nisso, entra a questão do site confiável”, completa o engenheiro. Bingo!
Vulnerável, eu?
Quando questionado sobre a possibilidade de um computador adepto a aplicativos online ser mais frágil, Antunes adota a seguinte lógica: “O aplicativo online é oferecido por alguém em que você confia?”, questiona. “A idéia é a mesma que usamos para softwares ‘offline’. Ou seja, se você usa um programa de uma empresa confiável, acredite, ela não vai querer queimar sua imagem”, opina Antunes.
A questão, contudo, vai um pouco além. Tudo que é mais conhecido, possui mais usuários e, consequentemente, é mais ‘visado’ pelos crackers. “Mas a falha é um problema quando não é conhecida pelo fabricante. E claro, assim que souber, a empresa vai tratar de corrigí-la”, diz.
De um ponto de vista otimista, a vantagem é clara. Antunes explica que, “se temos uma plataforma completamente online e é preciso fazer uma atualização, a falha é corrigida automaticamente.”
Mais proteção
Se os aplicativos online fazem parte da sua rotina, é possível que seu sistema esteja mais protegido. Uma das ações depende do provedor e, a outra, de você.
“Os provedores podem usar o Intrusion Prevention System, que observa os ataques e arquivos ‘errados’ vindos da internet. Ele vê se um endereço que tinha só o URL está com um comando SQL, por exemplo, e bloqueia a ação”, expõe Antunes.
Mas é claro, a proteção pode ser atenuada com a colaboração do próprio usuário, que deve inevitavelmente ter um firewall pessoal. Neste caso, “quando alguém tenta se conectar com a ferramenta de fora para dentro, o firewall não deixa, por mais que o aplicativo esteja vulnerável”, diz o executivo.
Além disso, dá para ser mais radical, segundo Antunes. Ele recomenda o uso de um firewall de hardware - o roteador. “As pessoas o usam para compartilhar a web, mas ele também dificulta o acesso”, explica.
“Com o processo de Networking Address Translation, o endereço da sua rede é trocado por outro endereço - no caso, algum dos padrões usados no Brasil”. Quando o cracker acha um computador, o roteador bloqueará o acesso e será uma máscara para o PC, que pode estar vulnerável, mas não será visto quando estiver conectado.
Como é possível observar, as medidas preventivas contra ataques por meio de aplicativos online se estendem a toda a internet, revelando uma boa relação entre custo e benefício.
Nenhum comentário:
Postar um comentário