Segurança da Informação

Ξ 2 comentários

Sua rede é protegida, e o código fonte do seu software? Cuidado! O inimigo mora ao lado. Seu software corre risco!

publicado por Pablo Jesus Camargo Correia

Figura -Sua rede é protegida, e o código fonte do seu software? Cuidado!  O inimigo mora ao lado. Seu software corre risco!Antes de falarmos sobre o risco para o software menciono abaixo a definição de risco segundo a ISO 31000 – Gestão de Risco – Princípios e Diretrizes

Risco é o efeito da incerteza nos objetivos.

NOTA 1 – Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.

NOTA 2 – Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

NOTA 3 – O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

NOTA 4 – O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada.

NOTA 5 – A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua consequência ou sua probabilidade.

Risco para um software são possíveis falhas existentes nos códigos que possam ser exploradas por hackers ou pessoas mal intencionadas como o objetivo de causar danos e possíveis fraudes para a organização possibilitando perdas financeiras e de imagem.

Como estratégia códigos fontes devem ser auditados com o objetivo de remover funcionalidades obsoletas e desnecessárias. Essas auditorias devem ser realizadas de maneira sistemática de modo a mitigar o risco.

É importante ressaltar que as proteções dessas informações existentes devem se basear em padrões normativos e de Segurança (ISO/IEC-15408 – Information technology – Security techniques – Evaluation criteria for IT security , ISO/IEC-27002 – Information Technology – Security Techniques – Code of practice for Information security controls, PCI Payment Card Industry – Data Security Standard) de maneira a garantir a Segurança implementando conjuntos de funcionalidades seguras, executando testes funcionais, verificando e protegendo códigos fontes de forma controlada, restringir somente a pessoas autorizadas com a finalidade de prevenir o uso não autorizado e assim mantendo a integridade, disponibilidade e confidencialidade, estabelecendo processos para identificar as vulnerabilidades, classificando e tratando os riscos, instalando patches de segurança e demais controles.

A Open Web Application Security Project (OWASP), iniciada em 9 de setembro de 2001, é uma entidade sem fins lucrativos e de reconhecimento internacional. Esta contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet.

Como forma de contruir, a OWA elencou 10 riscos (OWASP TOP 10 – 2017) considerados como mais graves para uma ampla gama de organizações, no entanto citaremos apenas 2 apresentando casos ocorridos e sugerindo contramedidas como forma de mitigar esses riscos. São eles:

A4- Quebra do controle de acesso

Em abril de 2013 o hacker Nir Goldshlager certamente entrou para a história da Facebook, de modo positivo. Em uma postagem em seu blog pessoal, o mesmo confirmou ter encontrado e explorado uma falha no sistema de autorizações da rede social, o que permitiu a ele ter acesso a todas as opções de qualquer perfil cadastrado.

É notório falhas e brechas de segurança existentes no sistema de autorização da rede social citada, falha essa que possibilitava o acesso as informações de perfis existentes.

Como contramedida testes de funcionalidades de segurança devem ser executados durante os desenvolvimentos dos sistemas. Outra proteção sugerida seria a criptografia dos códigos fontes. Se essa opção for utilizada o acesso lógico deve ser gerenciado separadamente sendo independente de mecanismos de controle de acesso e autenticação do sistema operacional nativo.

A6-Exposição de dados sensíveis

Em maio de 2014 uma brecha de segurança atingindo o eBay. Aparentemente, o ataque comprometeu uma base de dados com senhas criptografadas e informações financeiras.

Esse ataque só foi possível porque os criminosos conseguiram credenciais de acessos com alguns funcionários da própria empresa. Uma situação parecida também aconteceu com o Spotify.

Não se pode afirmar que houve o envolvimento dos colaboradores da empresa, entretanto é perceptível que a base de dados foi obtida através desses. Uma das hipóteses seria o ataque utilizando Engenharia Social ou até mesmo envolvimento interno como já mencionado. Independente, entende-se que houve Incidente de Segurança.

Nesse caso a contramedida sugerida seriam proteções adequadas das credencias dos colaboradores incluindo forte controle de acesso, limitando as informações com base somente na “necessidade de divulgação”, realizando conscientização interna, treinamentos bem como o controle e monitoramento de logs de acesso sendo posteriormente auditáveis.

Concluo que em ambos os casos são perceptíveis falhas no controle de acesso expondo dados sensíveis. Funções dos sistemas de aplicações deveriam ser protegidas e restritas de forma rigorosa, sendo assim todo cuidado é pouco!

Autor

Profissional com mais de 10 anos de experiência em Segurança da Informação atuando também em Gestão de Risco e Compliance. Graduado em Ciências da Computação, MBA – Gestão e Tecnologia em Segurança da Informação e discente em Ciências Jurídicas. Atuou como Coordenador dos departamentos de Compliance, Segurança da Informação e Gestão de Risco de uma multinacional Colombiana, atualmente é Consultor Sênior de Segurança da Informação e Compliance de uma empresa de soluções de pagamentos. Ministra palestras em Instituições Educacionais, Órgãos Públicos, Privados, Jurídicos e empresas que se interessem por assuntos pertinentes a Gestão de Riscos, Compliance, Proteção de Dados, Prevenção a Fraudes, Crimes Cibernéticos, Educação Digital, Redes Socais, IoT - Internet of Things entre outras. Atua como membro ABNT – Comissão de Estudos de Técnicas de Segurança da Informação Série ISO 27000 e membro consultor da Comissão de Direito Digital e Compliance (OAB/SP). Diretor Executivo da Consultoria PJCC, empresa especializada em Exames Forenses Computacionais, Segurança da Informação, Governança, Risco e Compliance. Examinador Lider da Certificadora Global PCS_IT atuando tambem como instrutor das certificações de Ethical Hacking, IT Governance, Ransomware Defense, Computer Forensics, Information Security. Possui certificações em Scrum Master, Computer Forensics, International Test Process Advanced - ISO/IEC 29119, Payment Card Industry Data Security Standard PCI/DSS, Six Sigma Yellow Belt Professional, ISO 27001:2013, ISO 27002, ITIL, ISO 9001 entre outras. Atuou em empresas como: Yokogawa América do Sul, Sony Pictures Entertainment, TUV-NORD, Thomas Greg & Sons. LinkedIn: www.linkedin.com/in/pablocamargocorreia

Pablo Jesus Camargo Correia

Comentários

2 Comments

  • Ótimo artigo, bem explicado e com otimas informações para que possamos estar em alertas a este tipo de incidente de segurança da informação.

You must be logged in to post a comment.

Busca

Patrocínio

Publicidade



Siga-nos!

Newsletter: Inscreva-se

Para se inscrever em nossa newsletter preencha o formulário.

Artigos Recentes