O problema é que os firewalls restringem acesso às portas específicas, mas essas portas estão abertas para que qualquer pessoa com má intenção possa usá-las para fazer ataques. Então a segurança de rede não é suficiente. O Gartner afirma que 75% dos problemas com hackers acontece na camada de aplicação.

“As medidas de segurança falham em proteger contra ataques comuns e mais conhecidos ... um ataque de injeção de SQL, foi capaz de conseguir os números de cartões de crédito armazenados nos bancos de dados da Guess.” – Federal Trade Commission

Na ânsia de disponibilizar os sistemas, os desenvolvedores têm mais interesse em colocar páginas com visual melhor, mais rápidas para visualizar e dão pouca atenção à segurança. Esses códigos mal escritos, documentação dentro do aplicativo, formulários que permitem acesso direto ao banco de dados e muitas outras brechas permitem o ataque de hackers.

O OWASP, organismo que busca criar um padrão para o desenvolvimento seguro de aplicações lista as dez mais críticas falhas nas aplicações (não estou entrando em detalhes agora sobre cada um desses problemas):

•  Cross Site Scripting (XSS)

•  Injection flaws

•  Malicious File Execution

•  Insecure Direct Object Reference

•  Cross Site Request Forgery (CSRF)

•  Information Leakege and Improper Error Handling

•  Broken Authentication and Session Management

•  Insecure Cryptographic Storage

•  Insecure Communications

•  Failure to Restrict URL Access

Essas falhas permitem que os hackers acessem fácilmente o site de qualquer empresa que não esteja de olho na segurança. Os ataques fazem com que as empresas que falham nesse controle tenham informações de seus clientes disponibilizadas na internet e essas informações sigilosas, quando descobertas, trazem grandes prejuízos à imagem dessas empresas. E pode levar muito tempo, muito dinheiro pode ser perdido até que essa imagem seja restaurada.

 

Unibanco tem brecha em sistema de comprovantes de transações online de outros correntistas

(http://idgnow.uol.com.br/seguranca/2007/01/29/idgnoticia.2007-01-29.8751247129)

“O sistema de verificação de comprovantes de pagamento no Internet Banking do Unibanco apresentou uma brecha crítica, que permitia a verificação de algumas transações financeiras de correntistas na internet.

Conforme alertou o perito Paulo Cesar Breim, da empresa  SVLabs, nesta segunda-feira (29/01), ao acessar a página do serviço e clicar no botão ‘Comprovante’, bastava que o internauta deixasse o campo de valor zerado e modificasse o último número do documento para acessar comprovantes de transações com dados de outros correntistas, exceto as senhas.”

Em 9 de janeiro de 2000, a Diretoria da empresa CD Universe, varejista de CD´s pela Internet, muito conhecida nos EUA, recebeu um e-mail de um certo Maxus, dizendo que havia roubado o cadastro de Cartões de Crédito da empresa, com mais de 300 mil nomes.

O cadastro incluía o nome do cliente, numero do cartão, data de validade, endereço e outros dados confidenciais. Como prova desse roubo, divulgava em um site na Internet, 25 mil cartões utilizáveis.

Exigia certa quantia em dinheiro para não divulgar os outros quase 300 mil cartões. A empresa chamou o FBI, para constatar que o hacker se encontrava na Rússia, ao abrigo das leis americanas contra hacker e fraude e que nada poderia ser feito.

Foi um ataque nas Portas Públicas (Portas 80 e 443) e aparentemente o mecanismo usado foi o SQL Injection, que possibilitou ao hacker conseguir as informações diretamente do banco de dados.

A Solução

A solução disponível no mercado que resolve inicialmente o problema é o Firewall de Aplicação WEB (Web Application Firewall). O Firewall de Aplicação WEB filtra o tráfego destinado às aplicações WEB. Esses firewalls possuem funções especificas de proteção contra ataques para aplicações WEB.

Mas o que é um firewall de aplicação?

“É o elemento intermediário entre o usuário e o servidor, analisando mensagens da camada 7 (OSI) em busca de falhas que afetem a política de segurança na programação” - Web Application Security Consortium Glossary

Firewalls de aplicação são firewalls de inspeção profunda de pacotes porque analisam cada requisição e resposta na camada de aplicação (http, https, SOAP, XML, web services).

Alguns firewalls de aplicação investigam com base em “Assinaturas de Ataque” em busca de identificar algum ataque que um invasor possa fazer.

Outros firewalls investigam comportamentos anormais no tráfego que não estão de acordo com os padrões normais do website.

Os Fabricantes

Em busca pela internet encontrei mais de vinte fabricantes de soluções. Alguns baseados em software em servidores Linux ou Windows. Mas listei abaixo os que têm melhor colocação no mercado e soluções baseadas em appliances:

•  F5

•  Citrix Networks

•  Cisco Systems

•  Foundry Networks

•  Netcontinuum

•  Nortel Networks

•  Radware

•  Juniper Networks

•  Akamai Technologies

•  e outros

Em janeiro de 2007 o Gartner Group disponibilizou uma análise competitiva de alguns fabricantes da solução:

É importante ressaltar que o Firewall de Aplicação WEB é apenas mais um componente com a função de auxiliar a proteção das aplicações WEB, ou seja, é necessário um conjunto de equipamentos, políticas de segurança e regras de desenvolvimento que complementem a solução para que os riscos sejam reduzidos.

Mais informações? Fale comigo.

Fontes:

http://idgnow.uol.com.br/seguranca/2007/01/29/idgnoticia.2007-01-29.8751247129

http://www.owasp.org/index.php/Main_Page

http://www.owasp.org/index.php/OWASP_Top_Ten_Project

http://www.gartner.com