Web Security – You’re Doing it WRONG 6


É triste o estado de descuido em que se encontram a maior parte dos WebSites nacionais… Não falo ao nível de organização, acessibilidade, usabilidade, design… mas sim ao nível da segurança, ou melhor, à falta dela…

Navegar por sites de grandes empresas, de universidades e respectivas faculdades, de sites governamentais, etc. aleatoriamente é quase como encontrar a cada clique um potencial alvo de ataque, quer ao site em si só para fazer defaces estúpidos, quer para atacar os seus visitantes ou para roubar dados e bases de dados importantes.

Porquê que isto acontece ? Porque é que não há cuidado em aplicar filtros nos formulários e nas querys que são feitas client-side  ? Existem já filtros desenvolvidos, open-source, que podiam ser aplicados rapidamente aquando do processo de desenvolvimento e que mais ou menos eficientes já eram algo melhor do que nada!! Não custava nem uma hora no desenvolvimento final de um website, e para empresas cujo negócio é o desenvolvimento de soluções web à medida para grandes entidades é inadmissível nunca se terem preocupado em criar uma solução por mais simples que fosse para aplicar a todos os seus trabalhos…

Depois há sempre os bons da fita que quando se apercebem de alguma coisa avisam os developers do site em questão e tentam ajudar. Quando isto acontece existem três tipos de empresas / pessoas:
– não ligam nenhum à sugestão dada e o site continua vulnerável
– ameaçam a pessoa que os está a alertar de lhes pôr um processo em cima (aqui ainda não percebi se é com medo que se peça dinheiro ou que fale com o cliente afectado)
– agradecem a sugestão, corrigem o erro e em alguns casos oferecem recompensas (dinheiro, serviços e até empregos)

Eu pessoalmente já tive estas experiências e desde que as minhas boas intenções foram levadas a mal e fui ameaçado por uma grande empresa portuguesa de desenvolvimento web que deixei de me interessar por ajudar.

Depois claro que aparecem sempre problemas com bases de dados com informações confidenciais roubadas, session hijacking, ou os famosos defaces.

Vamos lá pessoal, não é nada de impossível, é só preciso querer. Com o mínimo de cuidado podem ser evitadas muitas situações embaraçosas para vocês, para os vossos clientes e para o público alvo dos vossos clientes.

Imagem de http://www.fireblog.com/


Leave a Reply

This site uses Akismet to reduce spam. Learn how your comment data is processed.

6 thoughts on “Web Security – You’re Doing it WRONG

  • Carlos Gonçalves

    Olá João,

    Bom artigo, sem dúvida.
    Por acaso aconteceu-me duas situações semelhantes às 3 possibilidades que indicaste (curiosamente também a sites PT desenvolvidos em PT).

    Após alertar a situação, ameaçaram-me com um processo em tribunal e não sei que mais, escrevi uma carta para o cliente explicando toda a situação, e reenviei uma cópia dessa carta para a dita empresa explicando a situação, conclusão final fiquei com o cliente deles e nada se passou.

    Mas como nem todos são iguais, outra situação, foi após alertar para uma falha grave no sistema de logins da empresa, ofereceram-me uma boa recompensa 😀

    Abraço
    Carlos

    • João Pedro Pereira Post author

      É preciso ter sorte com quem nos metemos… Felizmente eu também nunca tive o processo, foi apenas a ameaça, mas ao contrário de ti não fiquei com o cliente :P.

      Esses são os que merecem a nossa ajuda, os que se preocupam e sentem-se na obrigação de “retribuir” o favor !

      Abraço,
      João Pedro Pereira

  • David

    Ai está um tema que tenho particular interesse.
    Deixa-me dizer como te compreendo João.
    Já passei as “passas” do Algarve e algumas noites sem dormir para tentar ajudar muitas empresas e organizações. (nota: não me estou a lamentar)
    NUNCA espero retribuição monetária, faço-o pelo conhecimento++ e para chamar atenção de que, cada vez mais, é importante o aspecto da segurança de informação na nossa comunidade.
    Por vezes basta um simples “Obrigado”.

    Há já algum tempo que já não analiso falhas web sem ser contratado para isso. Agora apenas reporto situações como “defaces”, “SPAMDEXING”, “Malware”, etc… muito pelo aspecto legal do processo e, mesmo nestas situações, sou muitas vezes confrontado com algumas ameaças e represálias.

    Não são só as entidades PT. Estas situações repetem-se em todo o lado.

    Quantos já não preveniram que algumas empresas ou organizações tivessem prejuízos de milhares de euros com um alerta?

    Foi só um desabafo… 😉
    Abraço

    • João Pedro Pereira Post author

      David é exactamente isso que eu penso, nós estamos a fazê-lo para ajudar, um obrigado basta porque com a falha deles já nós ganhamos com os conhecimentos que foram necessários melhorar ou aprender. A única coisa que me deixa “transtornado” são as ameaças a quem ajuda… Mas o que se pode fazer… :)?

      Nunca tinha era posto as coisas da forma que puseste:
      “Quantos já não preveniram que algumas empresas ou organizações tivessem prejuízos de milhares de euros com um alerta?” o que é bem verdade!

      Abraço,
      João Pedro Pereira

  • Alex

    Ha uma imensa quantidade de sites em Portugal vulneraveis a injecção sql, quer em plataformas unix, quer em plataformas em windows. Do que tenho visto a maior parte dos clientes cai na opção 2 (ignorância), ou porque pensam que lhes estão a contar a historia da carochinha, ou porque acreditam piamente/idioticamente/estupidamente na maxima “Paguei, logo o serviço funciona sem problemas”. Infelizmente esta arrogancia nada inteligente, é frequente em empresas com fracas ou nenhumas competencias de TI, mas que ainda assim querem estar na net porque é fixe/dá dinheiro/publicidade/etc.
    Claro que se tentarem falar com o fornecedor da solução pode ser ainda pior. A lei de criminalidade informatica está do lado deles. Uma auditoria não autorizada a um site, é tentativa de hacking, e a tentativa por si só, já é punivel por lei.

    O que acontece em Portugal é que a programação segura em Portugal é uma piada. Alias, por vezes a programação é uma piada.
    A gestão (a)normal de um projecto de software passa pela entrega de uma solução formatada de um tecnology partner (que se lixe a analise de sistemas), concepção (sobre o joelho, isto não lhes interessa mt), implementação (ASAP) e entrega (da factura). Podera haver posterior manutenção (da factura). A segurança não tem lugar aqui.
    Em Portugal, de facto há muita gente que sabe programar. Mas há de facto poucos Engs. de software e ainda menos programadores com optica de segurança. Quando esta gente é confrontada com a sua incompentencia a nivel de segurança, tentam logo matar o mensageiro. Se ninguem souber de nada, vamos confiar, e talvez tudo corra bem; esta é a logica de pensamento deles.

    Por outro lado, nos ultimos anos têm aparecido uma nova geração de empresas, pseudo iluminadas, que acreditam piamente que ninguem sabe instalar um sistema de email com AV e antispam robusto, que acreditam que ninguem sabe fazer uma auditoria basica aos sistemas, e claro, cobram os olhos da cara por esses serviços. Como diria o Octavio Machado, vocês sabem de quem eu estou a falar.

    E…já falei demais 🙂

    • João Pedro Pereira Post author

      Alex obrigado pelo teu contributo, de facto retrata muitas das mentalidades que andam por aí :). Quanto à luta Windows vs Unix, eu pessoalmente uso sistema unix, é possível ter sistemas seguros quer em windows quer em unix tal como é possível ter sistemas inseguros em ambas as plataformas, depende obviamente da(s) pessoa(s) por trás da administração do sistema.

      Abraço,
      João Pedro Pereira