Falha de Segurança IOS 7 – Saudade de Steve Jobs

Os leitores já devem ter lido sobre a falha de segurança identificada no IOS 7, onde, por meio de um conjunto de teclas, é possível ter acesso à barra de multitarefa do aparelho, a partir da qual a pessoa pode atingir o aplicativo câmera e as fotos dos usuários, além de alcançar os meios de compartilhamento, como Facebook, Twitter, Flickr e e-mail.

Quando uma empresa desenvolve ou realiza manutenções em um sistema, ela deve fazer vários testes para garantir o perfeito funcionamento do produto e promover testes de stress para que a performance do ambiente não seja comprometida.

O que acontece com a maioria dos sistemas desenvolvidos é que os testes de segurança, às vezes, não são realizados ou são deixados para um segundo momento. Com isso, os dados dos usuários desses sistemas ficam vulneráveis e expostos.

Essas fragilidades vão da simples possibilidade de acesso a dados de um celular a outras vulnerabilidades mais críticas, onde toda a base de dados de uma empresa, números de cartões de crédito e informações pessoais são divulgadas indevidamente. Na semana passada, hackers exploraram o site da corporação da Polícia Militar do Rio de Janeiro e divulgaram informações pessoais de 50 mil PM’s, incluindo CPFs e endereços residenciais. A falha de segurança digital pode expor os dados financeiros e por em risco a sua própria vida e de sua família.

Quando uma empresa desenvolve ou realiza manutenções em um sistema, ela deve seguir alguns requisitos mínimos de segurança, tais como:

• Autenticação centralizada com demais sistemas da organização;
• Segregação de perfis de acesso (por exemplo, a pessoa que criou a requisição de compra não pode aprová-la);
• Segregação de ambiente de produção, desenvolvimento e testes;
• Descaracterização dos dados nos ambientes de desenvolvimento e testes;
• Geração de trilhas completas de auditoria, registrando as principais atividades no sistema;
• Utilização de concentrador de log’s para evitar qualquer alteração do conteúdo que possa comprometer as evidências;
• Acompanhamento dos padrões de segurança para o sistema operacional, estações de trabalho, banco de dados utilizados pelo sistema, incluindo gestão de patches de segurança;
• Realização de testes de segurança envolvendo a infraestrutura utilizada pelo sistema, banco de dados, rede e aplicação;
• Documentação de qualquer alteração no sistema, incluindo cópias de segurança dos programas e suas respectivas versões e das bases de dados, que podem ser comprometidas durante a mudança.

Nos sistemas da Microsoft, estamos acostumados a encontrar e conviver com várias vulnerabilidades e correções periódicas de segurança.

No caso da Apple, essas ocorrências eram mais raras e, na minha opinião, estavam relacionadas ao alto grau de qualidade exigido por Jobs.

Além disso, me surpreende o fato da falha ter sido identificada, divulgada e a correção ainda não estar disponível.