Ataque Chinalenigena!

Uma notícia que trouxe grande apreensão recentemente, foi a declaração aberta referente ao cyberataque realizado pela China às empresas e ao próprio governo americano, e a acusação foi clara: o ataque partiu do próprio governo chinês!! Muitos analistas entendem que o que está ocorrendo é uma declaração aberta de guerra, claro que fora dos padrões tradicionais, pois nesse modelo não existem armas, mortes de inocentes, mas sim informações, computadores, sistemas, que são roubadas.(Spy Chief Calls Cyberattacks Top Threat to the U.S.)

Minha apreensão não é devido ao prejuízo que os Estados Unidos ou China, possam vir a ter diante dessa 'guerra', isso ai é briga de cachorros grandes, mas sim pela vulnerabilidade que os nossos próprios sistemas se encontram, e pior, diariamente precisam percorrer esse mesmo campo minado. Pois há de se lembrar que o mercado de desenvolvimento de software cresce de forma significativa na adoção de soluções web-based ao invés de computer based (windows), e a grande maioria sonha em migrar seus sistemas.

Assim como aquele que coloca uma grade na janela visando aumentar a barreira ao acesso da invasão em sua casa, precisamos criar soluções que contemplem o máximo de segurança possível, conhecer as nossas deficiências e gerar os controles necessários para buscar minimizar os impactos sobre os sistemas e negócios.

O que devemos considerar é que com o advento da web e dos banco de dados, toda informação crucial da empresa deixou de ser armazenada de forma espalhada por diversos computadores, ou arquivos, mas foram todos concentrados em um único local, e pior com acesso livre, portanto, a bandeira a ser conquistada.  E aqui vale tudo, programa espião instalado nas máquinas, scanners, sniffers, malwares, virus, e outras mais indiretas como SQL Injection, Javascript Injection, ou seja, estamos fritos.

GeneXus

A Artech recentemente desenvolveu o GAM, Genexus Access Manager, para o Ev2, que auxilia em alguns pontos como o controle sobre a autenticação (quem pode ingressar) e a autorização (quem pode executar) e que permite de forma mais automática gerenciar a segurança dos objetos da aplicação.  Creio que o ponto negativo desse recurso é sua indisponibilidade para versões anteriores (EV1, por exemplo), pois seria indispensável em qualquer sistema Web.  Mas, será que pelo menos esses dois elementos são efetivos em nossos sistemas?

A questão fundamental é outra: Como e quais recursos podemos usar na aplicação e a quais as melhores práticas e estratégias, pois a ferramenta permite que você mesmo crie sua politica de segurança, independentemente do GAM.  Ouvi recentemente uma pergunta, que me deixou de cabelos em pé, que exemplifica bem essa questão: Qual o melhor local para guardar a senha da pessoa no Cookie ou na WebSession? O que você responderia?

Hot Spots!

O problema não é o GeneXus em si, pois a ferramenta vem buscando se adequar às novas formas de ataque e adotando as politicas discutidas na OWASP, mas sim todo ambiente no qual o sistema será implantado, a infra-estrutura de segurança, o controle sobre possíveis tentativas de invasões, pessoas qualificadas em segurança que vigiem os ataques, ou seja, se defender nessa guerra custa caro e principalmente, requer muita atenção.

A OWASP apresenta um excelente recurso para entendermos melhor essa situação, em uma série de vídeos, que tratam desse assunto de forma interessante e, apesar do inglês, simples. Curioso? clique aqui!

Conclusões

Gosto de finalizar com conclusões otimistas, um resumo das soluções, mas aqui não tenho muito a dizer a não ser: que tal nossa comunidade de amigos começar a tratar essa questão mais seriamente, fica aqui o estimulo, o convite e o canal para discutirmos.


Mais informações:

• Security Configuration Benchmark For Windows 7
• Security Configuration Benchmark For Windows Server 2008
• CIS Microsoft Windows 8 Benchmark
• OWASP Top Ten Projects
• OWASP Appsec Tutorial Series - Episode 1: Appsec Basics
• OWASP Appsec Tutorial Series - Episode 2: SQL Injection
• OWASP Appsec Tutorial Series - Episode 3: Cross Site Scripting (XSS)
• OWASP Appsec Tutorial Series - Episode 4: Strict Transport Security

(imagens: http://owasp.org)