*Vitor Andrade Santos
Atualmente, mais da metade das pequenas, médias ou grandes empresas possuem um website, isso é o que aponta uma publicação do CGI (Comitê Gestor da Internet no Brasil).
“Entre as pequenas, médias e grandes empresas, a pesquisa TIC Empresas 2017 mostra que 55% das empresas afirmaram possuir um website, proporção que era de 57% em 2015, o que representa um cenário de estabilidade. No caso das médias empresas a presença na web por meio de websites é de 78% e as grandes empresas é de 89%.”
Dessa forma podemos admitir que ter um site na internet é a melhor forma de expor seus produtos ou serviços à clientela, porém também constitui uma porta de entrada para os hackers extraírem dados de seus clientes e até mesmo levar uma empresa à falência.
Situação atual das equipes de desenvolvimento
Muitas empresas têm a sua própria equipe de desenvolvedores, o qual é responsável por criar as aplicações web. Normalmente essa equipe é dividida em front-end e back-end, que são responsáveis por deixar o site bonito e funcional respectivamente.
A partir do momento em que o produto (site) está pronto, na maioria das vezes, o mesmo é imediatamente publicado para todo o planeta, podendo ser atingido por qualquer pessoa através de seu notebook, celular, tablet, smart TV, smartwatch e por aí vai… Ou seja, acessá-los é de extrema facilidade, bastando apenas uma conexão com a internet (o que atualmente todos têm).
Negligência dos desenvolvedores | Tesouro dos Hackers
Devido à inexistência de testes nas aplicações, as vulnerabilidades nos mesmos ficam expostas e, na maioria das vezes, não é necessário um conhecimento aprofundado para explorá-las.
Os desenvolvedores costumam realizar comentários em suas aplicações com o intuito de deixar o código mais organizado, porém alguns inserem informações sensíveis, tais como senhas de banco de dados, nomes de usuários, senhas etc. Porém qualquer um pode acessar essa informação com apenas uma tecla (F12), desta forma, alguém, em posse dessas informações, pode facilmente obter acesso a dados que deveriam ser sigilosos.
Alguns sites possuem a função que permite ao usuário acessar um determinado arquivo dentro do servidor, mas se essa funcionalidade não estiver realmente segura, qualquer pessoa com más intenções pode acessar outros arquivos armazenados no servidor e até mesmo do próprio sistema operacional.
Uma outra vulnerabilidade extremamente comum e altamente perigosa ocorre quando um usuário consegue inserir textos que são interpretados como instruções, isso acontece porque os desenvolvedores não fazem a devida sanitização dos dados inseridos, portanto inserindo o conjunto correto de caracteres o atacante pode conseguir manipular o site de uma forma que ele consiga acesso a dados sensíveis presa.
Conclusão
Como já é provado, um grande número de empresas possui seu site na internet, porém quando a aplicação é criada ela não é repassada para uma equipe de segurança realizar os devidos testes para verificar se existe ou não uma vulnerabilidade, conforme abordado anteriormente, algumas brechas não precisam de ferramentas especificas ou um profundo conhecimento para explorá-las.
*Vitor Andrade Santos é trainee red team | [SAFEWAY]
Sobre a [SAFEWAY]
A SAFEWAY é uma empresa de Segurança da Informação, reconhecida pelos seus clientes por oferecer soluções de alto valor agregado, através de projetos em Segurança da Informação que atendam integralmente às necessidades do negócio. Nesses anos de experiência, acumulamos, com muito orgulho, diversos projetos de sucesso que nos renderam credibilidade e destaque em nossos clientes, os quais constituem em grande parte, as 100 maiores empresas do Brasil.
Hoje através de mais de 17 parcerias estratégicas com fabricantes globais e de nosso SOC, a SAFEWAY é considerada uma one stop shopping com as melhores soluções de tecnologia, processos e pessoas.
Vamos tornar o mundo um lugar mais seguro para viver e fazer negócios!
