Os desafios da segurança de aplicativos em 2013

E o que isso representa em termos de segurança da informação? De imediato, podemos perceber que as políticas tradicionais de segurança, especialmente voltadas à proteção das estações de trabalho, não são mais tão eficazes para conter as brechas de segurança, principalmente se levarmos em consideração a mobilidade dos usuários e dos sistemas de informação. Mas o que a mobilidade tem a ver com isto?

Não há dúvidas que a mobilidade é, hoje, a palavra de ordem. Para se ter uma ideia, segundo a IDC, foram vendidos cerca de 2,6 milhões de tablets no Brasil em 2012. Neste ano, este número deve saltar para 5,4 milhões. Outra pesquisa, da Our Mobile Planet realizada pelo Google em parceria com o Instituto Ipsos, revelou que 14% dos celulares no País são smartphones. O uso desses dispositivos móveis intensificou a utilização de aplicações (apps), que segundo estimativas do Gartner, as lojas on-line de aplicações – App Store e o Android Market – devem distribuir 70 milhões de aplicativos até 2014.

E se por um lado a ubiquidade do acesso à tecnologia representa uma quebra de paradigma, esta difusão de mobilidade tem por principal característica a descentralização do acesso à informação, permitindo que seus clientes, parceiros ou grupos de amigos realizem, a partir de ambientes não controlados, interações sensíveis com seus aplicativos hospedados na Internet. Uma pesquisa da Juniper Research informa que o número de colaboradores que usam smartphones e tablets pessoais nas empresas vai mais que dobrar até 2014, chegando a 350 milhões em comparação com quase 150 milhões este ano.

Para entender melhor o problema, vamos tratar da questão dos aplicativos. Em sua grande maioria, os ataques de hoje começam por meio de brechas de segurança nos aplicativos utilizados pelas pessoas para realizar suas atividades diárias, tais como acessar e-mail, canais de atendimento, portais de notícias, enquetes, internet bank, etc. A partir destas falhas, os criminosos estruturam operações com alvos específicos como a prática de fraudes eletrônicas, roubo de identidade e crimes contra o sistema financeiro. A fragilidade dos aplicativos disponibilizados por uma determinada empresa pode, inclusive, determinar o grau de sucesso para atacar os seus serviços e clientes.

Para se ter uma ideia, nove de cada 10 aplicações corporativas que foram analisadas pela RedeSegura possuem algum tipo de vulnerabilidade que pode ser explorada por meio de ferramentas amplamente disponíveis na Internet. Destas aplicações vulneráveis, apenas duas serão corrigidas em uma janela de tempo necessária para evitar ataques mais sérios. Já o relatório de Tendências e Riscos X-Force dá conta que mais de 4,4 mil novas vulnerabilidades de segurança na web e em mídias sociais foram encontradas no primeiro semestre de 2012. Destas, 47% não foram corrigidas.

Mas por que isso acontece? Tradicionalmente as organizações nunca se preocuparam diretamente com os aplicativos. Bastava assegurar que o usuário e o meio de comunicação estivessem protegidos. Entretanto, neste jogo de insegurança, perdem os dois lados. Perde o desenvolvedor do aplicativo, que permite que seu sistema e dados de clientes sejam expostos de maneira arbitrária, e perde o usuário, que muitas vezes é vítima de ataques facilitados por estas falhas, instalando e hospedando malwares, programas maliciosos como botnets e cavalos de troia.

Sem a correta metodologia de detecção de falhas de segurança ainda na fase do desenvolvimento dos aplicativos, procedimento muitas vezes esquecido, o serviço, mesmo com funcionalidades perfeitas, será um calcanhar de Aquiles na segurança. Além desta prevenção, é importante rodar um sistema confiável que consiga rastrear, da forma mais eficiente possível, as brechas na segurança dos aplicativos já existentes em produção. Estas são mudanças primordiais para o futuro da segurança da informação neste mundo cada vez mais conectado.

Autor: Thiago Zaninotti: CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da tecnologia patenteada da N-Stalker e CTO da REDE SEGURA TECNOLOGIA

Profissionais TI

Mais artigos deste autor »

Eventos, cursos, livros, certificações, empregos, notícias e muito mais do mundo da TI (Tecnologia da Informação).


Deixe seu comentário

Seu endereço de e-mail não será publicado. Campos com * são obrigatórios!