fbpx

Ao mesmo tempo em que a internet fica mais acessível e ganha novos usuários, problemas com segurança surgem diariamente. A maioria dos usuários ao instalar aplicativos móveis no smartphone sequer sabe quais dados estão sendo enviados para o aplicativo e seu fabricante, mesmo que o app peça permissão.

Ainda que uma aplicação não envolva transações comerciais, ela geralmente capta dados privados do usuário.

Uma pesquisa da Lookout no sistema Android (o mais popular aqui no Brasil) mostrou que, de 30 mil aplicativos, 38% podem determinar localizações e 15% conseguem coletar números telefônicos. Esse acesso a dados sensíveis dos usuários exige que as empresas testem e aparem arestas na segurança de seus aplicativos, evitando complicações legais e descontentamento dos usuários. O Pentest é uma das maneiras de avaliar a segurança de um sistema ou aplicativo.

38% dos apps mobile podem determinar localizações. 15% conseguem coletar números telefônicos.

O que é o Pentest?

O Pentest é uma forma de detectar e explorar vulnerabilidades existentes nos sistemas, ou seja, simular ataques de hackers. Essas avaliações são úteis para validar a eficácia dos mecanismos de defesa do aplicativo e dos servidores por trás dele.

O teste pode ser realizado manualmente, mas normalmente é apoiado por ferramentas automáticas.

O propósito fundamental é avaliar quaisquer consequências que falhas de segurança possam ter sobre os recursos ou operações envolvidas. Isso é possível pois o Pentest detecta de forma rápida onde o sistema web/mobile é mais vulnerável, permitindo à equipe corrigir o que for necessário após o teste.

3 vulnerabilidades comuns que podem ser evitadas

Sql Injection
As vulnerabilidades de segurança em aplicações web podem resultar em roubo de dados confidenciais, quebra de integridade de dados ou ainda afetar a disponibilidade dos aplicativos web.

87% dos websites têm vulnerabilidades de segurança consideradas de médio risco. 46% dos websites possuem vulnerabilidades de alto risco.

Para se ter uma ideia do perigo, de acordo com uma pesquisa da Acunetix, 87% dos websites têm vulnerabilidades de segurança consideradas de médio risco. E fica pior: quase metade (46%) dos websites possuem vulnerabilidades de alto risco. A forma mais eficiente de garantir a segurança dessas aplicações é justamente eliminando estas vulnerabilidades. Abaixo, listamos 3 vulnerabilidades que podem ser evitadas antes mesmo de fazer o Pentest:

#01 – SQL Injection

É um tipo de ataque utilizado para enviar comandos nocivos à base de dados através de formulários ou de URLs. Quando bem sucedido, pode apagar a tabela do banco de dados, deletar todos os dados da tabela ou ainda roubar senhas cadastradas em um banco. O SQL Injection funciona porque a aplicação aceita dados fornecidos pelo usuário, ou seja, confia no texto que é digitado e também porque essas conexões são realizadas no contexto de um usuário com nível de administrador.

Exemplo no mundo real: O SQL Injection foi utilizado em um dos maiores ataques hacker da história. Hackers russos roubaram logins e senhas de aproximadamente 1,2 bilhão de contas em websites diversos. De acordo com uma matéria do New York Times, os hackers atacaram cerca de 420 mil websites.

#02 – Cross Site Scripting (XSS)

Esse ataque se aproveita da vulnerabilidade nas validações dos parâmetros de entrada do usuário e resposta do servidor na aplicação. Imagine o caso de um fórum online, por exemplo, onde o usuário tem permissão para postar mensagens de sua autoria para outros membros. Se a aplicação não filtrar corretamente os códigos HTML, alguém mal intencionado pode adicionar instruções para leitura de informações específicas do usuário legítimo. E o que isso significa? Esse usuário mal intencionado terá acesso a códigos de sessão e poderá executar tarefas específicas, como o envio arbitrário de mensagens para o fórum.

Exemplo no mundo real:  Um caso bem conhecido é do WordPress. O tema TwentyFifteen (que vem instalado por padrão) estava vulnerável à ataques XSS e deixou milhões de sites vulneráveis. O grande problema dessa vulnerabilidade é que, se o administrador de uma página na plataforma abrir um comentário malicioso, um script é ativado e possibilita ao invasor modificar o código ou as configurações do website.

#03 – Cross Site Request Forgery (CSRF)

Esse ataque se tornou muito comum e está no Top 10 ataques/falhas mais comuns em aplicações web da OWASP (Open Web Application Security Project). O ataque explora a relação de confiança entre o usuário e o aplicativo web, forçando-o a executar ações indesejadas na aplicação em que ele está autenticado. Os alvos geralmente são transações comuns porém valiosas, como alteração de e-mail ou dados pessoais. A maneira mais usual de ataque é o envio de e-mail para a vítima contendo um link ou formulário.

Exemplo no mundo real:  Conhecido como “Golpe da Oi”, o ataque CSRF foi realizado via e-mail e modificou as características das configurações dos roteadores e modens no país todo. Técnica incomum até então, mas potente para espionar o tráfego de usuários na web, os e-mails fingiam ser enviados pela Oi. Se bem sucedido, o ataque leva usuários para um site fraudulento, mesmo que o endereço digitado seja correto. Assim, é possível interceptar e-mails, logins e senhas.

O caso uKnowKids: rastreador de crianças expõe base de dados de milhares de clientes

O caso do uKnowKids, um aplicativo digital voltado a pais, chega a ser irônico. A empresa prometia fornecer uma verdadeira proteção online para seus usuários, mas acabou tendo sua base de dados repetidamente violada por um hacker.

O aplicativo rastreia pegadas digitais das crianças, ou seja, sua base de dados incluía perfis de crianças, com nomes, endereços de e-mail, credenciais de mídia social, coordenadas GPS, datas de nascimento e milhões de fotos. O grande erro foi uma falha no sistema de autenticação, que poderia ter sido facilmente detectado caso a empresa investisse adequadamente na aplicação de práticas de desenvolvimento seguro e testes de segurança.

Como se proteger?

Segurança total e irrestrita contra crimes virtuais (pelo menos hoje) não passa de um sonho. Contudo, é possível testar a solidez do sistema, detectar falhas e criar barreiras que desencorajem e minimizem o impacto desse tipo de ação.

Você já pensou quais dados dos seus usuários e clientes podem estar expostos? Já realizou algum tipo de teste de segurança em sua aplicação e servidores? Clique aqui e descubra quais módulos de teste, além do Pentest, que podem ajudar a proteger sua empresa e seus clientes de ataques maliciosos.

  • Anônimo

    Simples e didático! Muito bom o post.