Lucimara Desiderá, analista de Segurança no CERT.br/NIC.br
As vulnerabilidades em aplicações são poderosas ferramentas à disposição dos criminosos virtuais. Fraudes, espionagem, furto de dados são apenas alguns dos delitos que afetam milhares de organizações e usuários pelo mundo. Por conta disso, nunca foi tão importante estar preparado para conter eventuais falhas e brechas de aplicações e sistemas Web.
Parte da trilha de Privacy Security, a palestra da Lucimara Desiderá na Web.br 2015 abordará o cenário atual de incidentes de segurança relacionados ao ambiente Web (servidores, aplicações e redes), trazendo exemplos de vulnerabilidades e ataques recentes. Também serão mostradas recomendações e boas práticas para o desenvolvimento, deployment e manutenção de aplicações e sistemas. Confira abaixo entrevista com Lucimara:
Quais são as vulnerabilidades mais comuns que desenvolvedores costumam subestimar?
Lucimara: Entre as mais comuns estão a falta de autenticação numa sessão, tanto do cliente como do servidor envolvidos, e a falta de validação de dados de entrada. Tais falhas são oportunidades para a exploração por pessoas mal-intencionada, podendo levar a incidentes de segurança como vazamento de dados, furto de identidade, entre outros. Na realidade, o mais alarmante é a falta de preocupação com segurança por parte dos desenvolvedores e de empresas produtoras de software. Em parte, isso se deve à falta de cultura de Segurança e à deficiência na formação dos profissionais.
E qual é a melhor forma de aumentar a prevenção? Mudando a grade curricular dos cursos? Com programas de conscientização?
Lucimara: Acredito que a solução está em um conjunto de ações. O desenvolvimento seguro não faz parte da grade curricular dos cursos de formação. É preciso ter isso em sala de aula e, eventualmente, uma mudança na grade curricular será necessária. É preciso que as escolas no Brasil enxerguem isso como uma necessidade. Mas eventos como a Web.br também são fundamentais para aumentar essa conscientização.
“Existe um mercado negro para venda de vulnerabilidades zero-day e exploits. E a tendência é mais preocupante quando se vislumbra a popularização da “Internet das Coisas”.
Qual é o cenário e as novas tendências em relação ao controle das vulnerabilidades que você discutirá na Web.br 2015?
Lucimara: A sessão abordará o cenário atual de incidentes de segurança relacionados ao ambiente Web (servidores, aplicações e redes), trazendo exemplos de vulnerabilidades e ataques recentes. Serão abordadas recomendações e boas práticas para o desenvolvimento, deployment e manutenção de aplicações e sistemas Web.
Discutirei o cenário atual de incidentes de segurança, abordando um quadro preocupante que é necessário reverter: o grande número de vulnerabilidades em aplicações. Elas tornaram-se ferramentas, “armas” à disposição de criminosos para condução de fraudes, espionagem, violação de privacidade, etc, fazendo de usuários e organizações suas vítimas. Existe, inclusive, um mercado negro para venda de vulnerabilidades zero-day e exploits. E a tendência é mais preocupante quando se vislumbra a popularização da “Internet das Coisas”.
E como funciona esse mercado negro de zero-day e exploits?
Lucimara: Zero-days são vulnerabilidades desconhecidas dos fabricantes e desenvolvedores de um software. Se uma pessoa a descobre, ela pode indicar a falha para o fabricante. Mas existem pessoas mal-intencionadas que usam essa informação para formular um exploit, que nada mais é do que uma maneira de explorar essa vulnerabilidade. Depois, ela faz a venda no mercado negro. Tem muita gente ganhando com isso no mundo todo. Também em países como a Rússia, aonde até a máfia local está envolvida nisso. Quando um desenvolvedor não presta as devidas atenções a algumas práticas de segurança, fica exposto a esse tipo de ação.
Qual sua projeção para a forma que o mercado irá lidar com a necessidade do aumento da segurança num futuro próximo?
Lucimara: É fundamental que o mercado adote boas práticas que permitam a redução das vulnerabilidades em aplicações a fim de reduzir os riscos associados à exploração destas vulnerabilidades por criminosos. É primordial que desenvolvedores de aplicações tenham consciência sobre a necessidade de se pensar em segurança desde as etapas iniciais do desenvolvimento, ou seja, desde a análise de requisitos, bem como de se adotar boas práticas.
