Tecnologia da RedeSegura presente no quadrante mágico do Gartner

Entre os pontos fortes apontados no relatório estão as ferramentas de teste por análise de tráfego HTTP entre o browser e o servidor, que também testa a força das senhas; os recursos de testing-as-a-service; relatórios e a integração considerada out-of-the-box com diversos fornecedores de TI

A N-Stalker, especializada em segurança de aplicações web e responsável pelo desenvolvimento da plataforma RedeSegura, ingressa no Quadrante Mágico do Gartner Group para testes em aplicações Web como player de nicho por sua tecnologia, no relatório de julho de 2013. De acordo com o CTO da N-Stalker, Thiago Zaninotti, a criação do Quadrante Mágico para testes de aplicações Web mostra a importância desta tecnologia para a segurança corporativa. “O volume de aplicativos web cresce exponencialmente e o desenvolvimento e rápida disponibilização para atender aos requisitos do mercado acabam deixando muitas vulnerabilidades exploráveis, o que compromete a segurança”, completa.

 O foco da brasileira N-Stalker é a análise de segurança de aplicações web, com técnicas DAST – do inglês dynamic application security testing – com captura proxy; ferramentas de testes por análise de tráfego HTTP entre o browser e o servidor, que testa a força das senhas, permite descobrir servidores web e testar sua capacidade. Características avaliadas como pontos fortes pelos já conhecidos rigorosos critérios do Gartner para o relatório do Quadrante Mágico.

Outros pontos avaliados e considerados fortes pelo Gartner foram os recursos de testing-as-a-service, que segundo o relatório “A N-Stalker é um dos poucos fornecedores que oferece opções de DAST-as-a-service”. E os recursos de classe empresarial, como o RBAC – Role Base Access Control –, em seu console; relatórios e a integração considerada out-of-the-box com diversos fornecedores de tecnologia Web Application firewall – WAF.

A tecnologia N-Stalker foi patenteada pelo USPTO – United States Patent and Trademark Office, agência do Departamento de Comércio do Governo dos Estados Unidos, que reconheceu a metodologia inventada e desenvolvida por Zaninotti, como uma nova abordagem para avaliação de aplicações de segurança na Web.

75% dos aplicativos web possuem falhas críticas

Estudo da N-Stalker apontou o cross-site scripting, a exposição de informações sensíveis e controle de acesso insuficiente como as três principais vulnerabilidades em apps

O estudo da N-Stalker Labs, laboratório de investigação da N-Stalker, especializada em segurança de aplicações web, analisou mais de mil aplicativos web, em organizações de diferentes segmentos da indústria, sendo 50% US/Canada, 30% Europa e 20% de outros países, em 2012 e 2013. Os resultados são preocupantes: foram encontrados, em média, 40 vulnerabilidades por aplicativo; 75% dos aplicativos possuíam falhas críticas e 50% tinham pelo menos uma falha no padrão aberto e disponível para desenvolvedores, o Open Web Application Security Project – OWASP. A maior incidência de vulnerabilidades foi encontrada no comércio eletrônico.

Segundo o pesquisador e CTO da N-Stalker, Thiago Zaninotti, que coordenou a pesquisa, em todas as aplicações existiam oportunidade de melhorias na segurança. Mesmo assim, 60% das organizações só realizaram testes depois de incidentes e, destas, 20% já sabiam dos problemas antes dos testes. “Percebemos que há problemas em toda a fase de desenvolvimento dos aplicativos web”, comenta.

As três principais vulnerabilidades encontradas nos apps foram: cross-site scripting ou XSS (refletido e baseado na especificação DOM ou modelo de objetos de documentos, da W3C que padroniza a www); exposição de informações sensíveis e controle de acesso insuficiente. Zaninotti explica que as vulnerabilidades XSS ativam ataques maliciosos ao permitir a manipulação de páginas web e a injeção de instruções de script que são executadas no computador do próprio usuário.

“A exploração de vulnerabilidade cross-site (XSS) permite que atacantes executem scripts no navegador de usuários para obter dados confidenciais, sequestrar sessões, redirecioná-los para sites maliciosos etc.”, explica e acrescenta: “a segunda vulnerabilidade mais encontrada em apps expõe informações sensíveis como dados de cartões de crédito e de credenciais de autenticação, o que permite roubar a identidade de usuários, fraudar cartões de crédito, entre outros crimes. Já o controle de acesso insuficiente pode facilitar o acesso a perfis de usuários sem a necessidade de credenciais ou até mesmo a funcionalidades administrativas dos aplicativos, permitindo o roubo de dados sensíveis ou confidenciais”, finaliza o pesquisador.

Cuidado com os mitos de segurança dos aplicativos web

Minimizar alguns riscos pode dar falsa sensação de segurança, levando as empresas a baixar a guarda para ameaças quase eminentes

Muitos mitos e mesmo distorções povoam o, digamos, imaginário corporativo sobre a segurança na internet, aumentando a incidência de vulnerabilidades e reduzindo as defesas contra ataques. Isto porque os mitos tendem a minimizar os riscos; dar uma falsa sensação de segurança, seja por meio de alguma nova tecnologia “milagrosa” ou pela ausência de visibilidade dos problemas, levando as empresas a baixar a guarda para ameaças quase eminentes.

Como é bastante óbvio, a internet se tornou o principal ponto de convergência dos sistemas corporativos, integrando transações com parceiros, fornecedores, clientes e investidores em um mesmo canal eletrônico. Segundo o site da Pingdom, os usuários de internet no mundo todo somaram 2,4 bi, em 2012. Por aqui, o número de usuários ativos, segundo a pesquisa da Net Insight, estudo sobre internet do IBOPE Media, era de 50 milhões, em dezembro deste mesmo ano.

Com tantos usuários utilizando sistemas de informação em rede pública, a segurança para aplicativos web se consolidou de vez como um dos principais itens na agenda dos gestores de segurança da informação. Considerando ainda a atual complexidade dos sistemas de TI, incluindo a disseminação da computação distribuída em nuvem, “big data”, composição de serviços distribuídos e a necessidade da implantação da governança corporativa, faz-se cada vez mais necessário eliminar os mitos que contribuem negativamente para o sucesso da proteção dos aplicativos.
Enumeramos os seis mitos mais recorrentes que fragilizam o elo de percepção de segurança e os descrevemos a seguir.

1. O desenvolvedor sempre me proverá sistemas seguros

Qualquer aplicativo web, do mais simples serviço de bate-papo a um complexo pacote de gestão de recursos corporativos, passa necessariamente pelas fases de desenvolvimento e manutenção. Nestas fases, as atividades de criação e alteração de código-fonte priorizam requisitos funcionais e o desempenho do aplicativo. É um mito achar que os desenvolvedores poderiam estar vertendo todo o seu tempo para produzir trechos de código livres de falhas de segurança. Muitas brechas seriam resolvidas se o aplicativo web fosse testado adequadamente durante estas fases ou antes de ser colocado em produção.

2. Apenas especialistas sabem explorar vulnerabilidades da Aplicação Web

Com a ampla oferta de sites que publicam ferramentas abertas para testar vulnerabilidades, qualquer usuário com um computador conectado à Internet pode ser um potencial vetor de ameaças. Os ataques de hoje exigem menos conhecimento técnico e tem parte de sua complexidade ocultada por ferramentas sofisticadas que executam automaticamente passo-a-passo as instruções para explorar uma falha de segurança. Achar que você está protegido pela obscuridade ou falta de conhecimento da vulnerabilidade é um grave erro.
3. Falhas em aplicações internas não são tão importantes

Em um recente estudo conduzido pela Universidade Carnegie-Mellow em conjunto com o Departamento de Segurança Interna dos EUA, pesquisadores detectaram que ataques internos são os mais bem sucedidos no segmento financeiro. Na maioria dos casos estudados, o tempo para a detecção inicial de fraudes internas supera 32 meses. Isso significa que o excesso de confiança no ambiente interno acostuma as pessoas a serem menos conscientes; as aplicações são desenvolvidas de maneira menos seguras, seja pelo uso de controles inadequados ou pela falta de interesse em eliminar vulnerabilidades. Lembre-se, os aplicativos internos são aqueles que armazenam os dados mais preciosos do negócio, estando mais suscetíveis a funcionários descontentes, prestadores de serviço ou até mesmo criminosos infiltrados.

5. O Firewall nos protege de todos os ataques externos

Mesmo tendo alcançado a maturidade comercial desde o final dos anos 90, os firewalls não estão prevenindo o aumento das estatísticas de ataques em todo o mundo. Obviamente alguma coisa está errada nesta estratégia de defesa. As tecnologias de proteção perimetral são essenciais para qualquer estratégia de gestão de segurança, afinal, são a base de sustentação do plano de defesa em camadas. Por outro lado, os ataques estão cada vez mais direcionados às funcionalidades de negócio, disfarçados em transações legítimas que tem por objetivo final explorar uma determinada vulnerabilidade no aplicativo. Trata-se, portanto, de mais um mito amplamente difundido nas corporações.

5. Selos de “percepção” de segurança não blindam o seu site.

Apesar dos selos de segurança terem tido o papel de introduzir a discussão de proteção dos aplicativos web em todas as camadas de negócio da empresa, eles têm sido frequentemente utilizados para substituir um trabalho mais profundo na correção de vulnerabilidades das aplicações. Os selos de “blindagem” contra ataques acabam tendo o mesmo efeito de um aviso de “cão antissocial” na porta da sua casa. O mito deve ser combatido com um trabalho de acompanhamento do ciclo de vida dos aplicativos, incluindo testes de segurança periódicos nas funcionalidades de negócio, de maneira a produzir efeitos satisfatórios de proteção para suas aplicações web.

6. Meu website é seguro porque utiliza SSL e Criptografia de Dados;

Este mito é um dos mais frequentes nas áreas de negócio das empresas. Utilizar criptografia de dados, SSL ou o tal “cadeado de segurança” no navegador só assegura que os dados sejam transmitidos do aplicativo para o navegador web com baixo risco de serem interceptados. O verdadeiro foco de problemas está naquilo que o aplicativo ou usuário faz com os dados após eles terem sido transmitidos e, para se proteger deste risco, o “cadeado” é completamente inócuo. Da mesma forma que o mito anterior, a única maneira eficaz de proteger o seu aplicativo web é antecipar a detecção e correção de vulnerabilidades antes que algum usuário mal intencionado resolva tomar proveito delas.

Conhecer os principais mitos de segurança e entender o impacto de ignorá-los já são ferramentas bastante eficientes para prevenção de ataques nos aplicativos web. Por meio delas, adota-se uma atitude mais proativa e menos reativa, aliando tecnologia e metodologia para proteger estes sistemas. E ter em mente que segurança da informação é um estado transitório, que só pode ser garantido pela continuidade de processos e atividades que visam manter os níveis adequados de proteção, seja para um pequeno negócio ou para uma grande corporação.

* Thiago Zaninotti, CISSP-ISSAP, CSSLP, CISM, é mestre em engenharia da computação pelo Instituto de Pesquisas Tecnológicas de São Paulo, criador da tecnologia patenteada da N-Stalker e CTO da REDE SEGURA TECNOLOGIA.

Os desafios da segurança de aplicativos em 2013

Agora, o acesso à internet é feito por dispositivos diversos e em várias redes. Os riscos aumentaram e os desenvolvedores, as empresas e os usuários precisam evoluir as políticas de segurança e controle.

Por Thiago Zaninotti

Nunca antes a segurança da informação esteve tão presente no dia a dia das pessoas. Esta é uma questão que afeta a todos sem distinção, de grandes corporações, passando por pequenas empresas e organizações sem fins lucrativos, até pessoas físicas. Por outro lado, assistimos a uma grande difusão de dispositivos, não somente corporativos, mas também dos próprios usuários que passaram a se conectar à internet para acessar aplicativos e informações, de forma ininterrupta.

E o que isso representa em termos de segurança da informação? De imediato, podemos perceber que as políticas tradicionais de segurança, especialmente voltadas à proteção das estações de trabalho, não são mais tão eficazes para conter as brechas de segurança, principalmente se levarmos em consideração a mobilidade dos usuários e dos sistemas de informação. Mas o que a mobilidade tem a ver com isto?

Não há dúvidas que a mobilidade é, hoje, a palavra de ordem. Para se ter uma ideia, segundo a IDC, foram vendidos cerca de 2,6 milhões de tablets no Brasil em 2012. Neste ano, este número deve saltar para 5,4 milhões. Outra pesquisa, da Our Mobile Planet realizada pelo Google em parceria com o Instituto Ipsos, revelou que 14% dos celulares no país são smartphones. O uso desses dispositivos móveis intensificou a utilização de aplicações (apps), que segundo estimativas do Gartner, as lojas online de aplicações – App Store e o Android Market – devem distribuir 70 milhões de aplicativos até 2014.

E se por um lado a ubiquidade do acesso à tecnologia representa uma quebra de paradigma, esta difusão de mobilidade tem por principal característica a descentralização do acesso à informação, permitindo que seus clientes, parceiros ou grupos de amigos realizem, a partir de ambientes não controlados, interações sensíveis com seus aplicativos hospedados na internet. Uma pesquisa da Juniper Research informa que o número de colaboradores que usam smartphones e tablets pessoais nas empresas vai mais que dobrar até 2014, chegando a 350 milhões em comparação com quase 150 milhões este ano.

Para entender melhor o problema, vamos tratar da questão dos aplicativos. Em sua maioria, os ataques de hoje começam por meio de brechas de segurança nos aplicativos utilizados pelas pessoas para realizar suas atividades diárias, tais como acessar e-mail, canais de atendimento, portais de notícias, enquetes, internet bank etc. A partir destas falhas, os criminosos estruturam operações com alvos específicos como a prática de fraudes eletrônicas, roubo de identidade e crimes contra o sistema financeiro. A fragilidade dos aplicativos disponibilizados por uma determinada empresa pode, inclusive, determinar o grau de sucesso para atacar os seus serviços e clientes.

Para se ter uma ideia, nove de cada 10 aplicações corporativas que foram analisadas pela RedeSegura possuem algum tipo de vulnerabilidade que pode ser explorada por meio de ferramentas amplamente disponíveis na internet. Destas aplicações vulneráveis, apenas duas serão corrigidas em uma janela de tempo necessária para evitar ataques mais sérios. Já o relatório de Tendências e Riscos X-Force dá conta que mais de 4,4 mil novas vulnerabilidades de segurança na web e em mídias sociais foram encontradas no primeiro semestre de 2012. Destas, 47% não foram corrigidas.

A gestão de riscos ainda é ineficiente
Mas por que isso acontece? Tradicionalmente as organizações nunca se preocuparam diretamente com os aplicativos. Bastava assegurar que o usuário e o meio de comunicação estivessem protegidos. Entretanto, neste jogo de insegurança, perdem os dois lados. Perde o desenvolvedor do aplicativo, que permite que seu sistema e dados de clientes sejam expostos de maneira arbitrária, e perde o usuário, que muitas vezes é vítima de ataques facilitados por estas falhas, instalando e hospedando malwares, programas maliciosos como botnets e cavalos de troia.

Sem a correta metodologia de detecção de falhas de segurança ainda na fase do desenvolvimento dos aplicativos, procedimento muitas vezes esquecido, o serviço, mesmo com funcionalidades perfeitas, será um calcanhar de Aquiles na segurança. Além desta prevenção, é importante rodar um sistema confiável que consiga rastrear, da forma mais eficiente possível, as brechas na segurança dos aplicativos já existentes em produção. Estas são mudanças primordiais para o futuro da segurança da informação neste mundo cada vez mais conectado.

Polícia prende hacker que está entre os dez homens mais procurados pelo FBI.

Uma das 10 pessoas mais procuradas pelo FBI, o hacker argelino Hamza Bendelladj, de 24 anos, foi preso nesta segunda-feira ao fazer uma escala no aeroporto de Bangcoc, na Tailândia. De acordo com o jornal The Nation, os passos do suspeito foram seguidos desde uma viagem à Malásia e a polícia tailandesa realizou a prisão com auxílio de homens do próprio FBI.

Bendelladj é procurado pelo serviço de investigação americano há três anos, por invadir sites de ao menos 217 bancos e companhias de finanças. Segundo o general tailandês Phanu Kerdlabpol, que participou da operação, com apenas uma invasão o argelino lucrava “até US$ 20 milhões”. Ainda de acordo com as investigações, o hacker vivia uma rotina “de luxo e extravagâncias viajando pelo mundo”.

Graduado em Ciências da Computação, na Argélia, em 2008, Bendelladj deve ser extraditado para o Estado americano da Geórgia, onde tem um mandado de prisão.

Mesmo detido, o hacker demonstrou tranquilidade e riu em depoimento aos policiais: “não sou um dos 10 mais procurados, talvez seja um dos 20 ou 50. Não sou um terrorista”, declarou.

Fonte: http://tecnologia.terra.com.br/internet

Grupo hacker vaza 1,6 milhão de contas da Nasa, FBI, Pentágono e outros

Coletivo GhostShell realizou uma campanha de infiltração e roubo de dados sensíveis chamada #ProjectWhiteFox (Projeto Raposa Branca)

Um coletivo hacker chamado GhostShell divulgou há pouco dados sobre 1,6 milhão de contas pertencentes à Nasa, FBI, Interpol (polícia internacional), Pentágono e várias outras companhias e agências do governo. É um dos maiores vazamentos já registrados.

De acordo com o grupo, a divulgação é o epílogo de uma série de ataques, cujo objetivo é “promover mundialmente o hacktivismo e trazer atenção para a liberdade de informação na Internet“.

De acordo com reportagem do site The Verge, o coletivo (que tem ligações com o grupo Anonymous) realizou uma campanha de infiltração e roubo de dados sensíveis chamada #ProjectWhiteFox (Projeto Raposa Branca). Os alvos foram setores industriais, financeiros, governamentais e militares. Ao menos parte da invasão parece ter usado uma técnica chamada “injeção de SQL“, obtendo acesso a grandes bancos de dados.

Os dados foram publicados em sites como GitHub, Slexy, e Private Paste, informa a reportagem. A imensa quantidade de dados, no entanto, torna difícil a garimpagem individual de nomes.

Fonte: http://idgnow.uol.com.br/internet

Site da Campus Party permanece fora do ar devido a protestos

O site da Campus Party Brasilpermanece fora do ar há 4 dias devido a protestos de usuários com relação ao preço cobrado no ingresso para a edição de 2013.

Na última terça-feira, 02, quando seria dado início às vendas dos ingressos para a edição 2013, os ataques começaram. Segundo a organização do evento, o site foi sobrecarregado com diversos acessos simultâneos e saiu do ar, em um tipo de ataque conhecido como DDoS (negação de serviço).

Os ataques são um protesto contra os preços definidos para a edição 2013 do evento. No Twitter (com a hashtag #CPBR6) e no Facebook (com um evento de boicote), é possível encontrar usuários insatisfeitos com os novos preços.

A Campus Party 2013 terá ingressos de até R$ 500, dependendo do lote adquirido. Em comparação com a edição deste ano, o aumento chega a mais de 200% de reajuste.

Devido aos ataques e a instabilidade no acesso ao site, às vendas dos ingressos para a sexta edição do evento ainda não começaram e não tem uma nova data para acontecer.

A Campus Party Brasil 2013 irá ocorrer entre os dias 28 de janeiro e 3 de fevereiro no Anhembi Parque, na cidade de São Paulo.

Fonte: INFO Online

Testando vulnerabilidades: Novo conceito para combater Malwares.

Na revista IPESI Eletrônica & Informática, edição de Setembro/Outubro 2012, o repórter Alberto Mawakdyie apresenta, na seção Informática, entrevista com o pesquisador do Instituto de Pesquisas Tecnológicas (IPT) de São Paulo Thiago Zaninotti, destacando o scanner que ele desenvolveu e que propõe um novo conceito para combate contra pragas dos malwares.

O repórter ressaltou em sua matéria que especialistas da área de segurança eletrônica estimam que só ano passado mais de 280 milhões de vírus foram colocados em circulação na Internet. Mais grave do que isto, pesquisas recentes mostram que 75% de algum novo malware são vistas em um único usuário final e cerca de 40% deles não são detectados. A questão não é se a rede será atacada. Mas, sim, de quando isso vai acontecer e de como será a resposta, relatou.

Para o repórter, um dos mais promissores programas de segurança brasileiros é o chamado Scanner de Vulnerabilidades em Aplicativos, desenvolvido pelo pesquisador do paulista Instituto de Pesquisas Tecnológicas (IPT) Thiago Zaninotti, na forma de tese de mestrado batizado “Método para testes de segurança em aplicações web por meio de casos de uso”.

A tecnologia desenvolvida pelo pesquisador é utilizada pela Rede Segura Tecnologia que, ao agregar às suas técnicas multidisplinares essa nova metodologia de segurança dirigida para aplicações web e seus servidores, ampliou sua capacidade de testar a segurança das aplicações.

Leia na integra o conteúdo completo da matéria publicada na IPESI Eletrônica & Informática: Testando vulnerabilidades: Novo conceito para combater Malwares.

TAM Airlines amplía la seguridad de su página Web para atender el aumento del tráfico

El sello de la Rede Segura Tecnología certifica que las aplicaciones web de la compañía están protegidas de las vulnerabilidades causadas por ataques de hackers y crackers.

TAM Airlines obtuvo el sello de website protegido de Rede Segura Tecnologia, empresa especializada en la administración de la seguridad de aplicaciones web. El certificado es el resultado del esfuerzo de la compañía para adoptar las mejores prácticas de seguridad en sus canales de venta online.

Presente en la esquina inferior derecha de la página principal de TAM Airlines, el sello certifica que el sitio se encuentra más protegido de las vulnerabilidades causadas por ataques de hackers y crackers.

La búsqueda de una solución de seguridad más fuerte fue impulsada por el aumento del tráfico producido en la página Web de la aerolínea. En julio, en comparación con el mismo mes de 2011, se ha registrado un crecimiento del 45% en la audiencia. Este año, el site también ha batido sus récords de visitas mensuales en junio y en transacciones, en abril.

“Es importante garantizar y transmitir seguridad al cliente. Nuestra página es responsable de una parte representativa de las ventas. Hoy en día, está más preparada para enfrentarse a cualquier aumento en el tráfico online”, dice Rodrigo Trevizan, director de Ventas Directas de TAM Airlines.

Los primeros resultados de la iniciativa ya son perceptibles. Desde su puesta en marcha, se ha producido un considerable incremento del número de visitantes que continúan navegando por las páginas del site y, en ocasiones, adquieren sus pasajes. El sello sólo aparece cuando hay vulnerabilidad identificada de riesgo alto y medio.

El proyecto de la línea aérea con Rede Segura Tecnologia se inició hace seis meses, cuando se implementó el Sistema RedeSegura (una especie de auditoría de las aplicaciones del portal de TAM) para identificar los ajustes que eran necesarios.

Hasta la fecha, el sistema lleva a cabo las pruebas diarias de evaluación de la seguridad de los aplicativos de la página web, así como las pruebas de escaneo (Black Box Scanning) que simulan ataques externos para identificar las vulnerabilidades. Para reforzar estas clasificaciones, una base de datos proporciona hasta 39 mil firmas de ataques ya practicados por agentes maliciosos.

“El Sistema Rede Segura, que combina la tecnología de N-Stalker con los servicios de expertos en seguridad, realiza escaneos para probar el entorno de las aplicaciones web, desde las entregas de desarrollo hasta la monitorización del riesgo de ataques durante su uso, lo que indica mejoras”, afirma Thiago Zaninotti, CTO de la Rede Segura Tecnologia.

A partir de los ajustes sugeridos por el Sistema RedeSegura, TAM ha enviado a los desarrolladores de su sitio web las directrices sobre cómo proceder para evitar ciertas vulnerabilidades. Además, todos los nuevos servicios o aplicaciones del portal deben someterse a validación antes de ser lanzados.

“Nuestro desafío es reconciliar estos ajustes con otros procesos para no provocar interferencias en las diversas actividades del portal”, dice Marcos Roberto Teixeira, Director de Tecnología de la Información de TAM Airlines. “Sin duda, estas acciones de mejora continua nos permiten prever los riesgos en nuestro entorno online”.

Fonte: http://www.dailyweb.com.ar/noticias/val/7658/tam-airlines-ampl%C3%ADa-la-seguridad-de-su-p%C3%A1gina-web-para-atender-el-aumento-del-tr%C3%A1fico.html