Quem é perigoso? Hackers, Crakers ou eu?

21 de Janeiro de 2010 às 11:10 TrustSign  | Enviar por e-mail Hits para esta publicação: 301

É muito comum encontrarmos artigos técnicos e não técnicos comentando sobre invasões em computadores, redes, certificados digitais SSL ou sites seguros, afinal, diante da infinidade de facilidades e benefícios que a internet nos traz, temos também o número de fraudes que cresce assustadoramente todos os dias, fazendo o assunto estar sempre em alta.

Hackers ou crackers? Serão esses os grandes responsáveis por esse aumento no número de fraudes? Serão assim tão complexas as ações que permitem o aumento das estatísticas? Independente de como minha aplicação ou website for feito, se eu tiver um certificado digital SSL, terei segurança? O que você realmente sabe sobre isso???

É importante sabermos que existem diferenças entre hackers e crackers, e que em grande parte das vezes que algum tipo de incidente ocorre, nenhum deles estava diretamente envolvido. Devido a vulnerabilidades existentes nos websites, aplicações, etc, basta que pessoas com o mínimo de conhecimento e um pouco de persistência vasculhem a web em busca de ferramentas que permitam identificar explorar as vulnerabilidades existentes, e teremos mais um fato que irá contribuir para o aumento das estatísticas.

Enquanto o mercado se expande e várias empresas de todos os portes abrem portas na internet, um problema mais grave acaba muitas vezes esquecido, tornando-se um grande vilão: A segurança em aplicações web. Chegando ao grande ponto dessa questão, a falta de segurança adequada nas aplicações web, é culpa do desenvolvedor e de quem não a exige.

No e-commerce a culpa também é nossa, pois compramos sem pesquisar o suficiente e sem exigir do lojista as garantias adequadas, criando assim um ciclo contínuo de irresponsabilidade digital. Devemos pesquisar mais, saber que um certificado digital SSL apenas garante a criptografia dos dados no momento da transação e que determinado site é verdadeiro, mas não garante a segurança do website, e é estritamente necessário que ao pensarmos em desenvolver algo, devemos fazê-lo com um profissional que tenha conhecimento nesse assunto e que conheça e adote as melhores práticas de segurança, incluindo normatizações específicas como, por exemplo, o PCI – Payment Card Industry (veja mais em https://www.pcisecuritystandards.org (inglês) ou http://www.visanet.com.br/VOL/portals/visaNetPub.portal?_nfpb=true&_pageLabel=nDiferencialSegurancaPvsiPage (português).

Temos acompanhado muitos testes realizados em diversos websites de e-commerces e institucionais, além de muitos fóruns fechados que tratam do assunto, e o resultado não é nada agradável. Infelizmente, muitos desses sites exibem um selo de “Site Seguro”, mas não são. Nenhum ambiente é 100% seguro para essa afirmação, e não estamos falando dos melhores hackers do mundo ou crackers, mas sim de pessoas com pouco conhecimento em segurança que conseguem muitas vezes obter acesso à websites com a utilização de pouquíssimos recursos, e isso independente da linguagem e banco de dados utilizados.

Não raros são os casos onde, usando apenas strings de validação como ‘or’ e alguns outros, membros de comunidades de segurança ou de hacking, informam que conseguiram acesso ao banco de dados do website com poderes de administração. O grande problema nesse caso são os campos de autenticação.

É importante, se você desenvolve, aprender sobre, se você busca o serviço, cobrar sobre, e se você usa a web para compras, se informar sobre. Apenas assim nos protegemos do aumento das fraudes e apoiamos um movimento único que busca o aumento da segurança de nossos dados, e claro, nossos bolsos.

É isso aí, fica aqui mais um post.

Publicação arquivada em: Artigo de Segurança

Enviar por e-mail | Hits para esta publicação: 302