Artigos

ResponsabilidadeCompartilhada

Eduardo Vianna de Camargo Neves

Conviso IT Security | Operations Team

BRASILIA | CURITIBA | SÃO PAULO

Escritório Central

Rua Marechal Hermes 678 CJ 32CEP 80530-230, Curitiba, PRt (41) 3095.5736t (41) 3095.3986www.conviso.com.br

ResponsabilidadeCompartilhada

por Eduardo Vianna de Camargo Neves

Conviso IT Security | Operations Team22 de agosto de 2010

Introdução

Quando uma empresa tem uma ou maisvulnerabilidades do seu Ambiente Informatizadoexploradas por um atacante, as conseqüênciaspodem ir da exposição negativa da imagemperante a sociedade até prejuízos ﬁnanceirosdecorrentes da parada de um processo, comono caso de um comércio eletrônico.Mas quando este incidente também afeta osclientes das empresas, o que pode acontecer ecomo este risco pode ser reduzido a um nívelaceitável? Ocorrências desta natureza temaparecido com freqüência e retirando os casosonde as pessoas são vitimadas por quadrilhasespecializadas em phishing [1], cenáriosagressivos aparecem no Brasil:Em agosto de 2010 mais de cinco milhõesde web sites hospedados em um provedorestavam sendo utilizados para propagaçãode malware [2], e no Brasil os web sites dasempresas Vivo e Oi [3] sofreram ataquessimilares.Dados pessoais de 12 milhões de pessoasque participaram do Exame Nacional doEnsino Médio (ENEM) vazaram de uma basede dados restrita, expondo-as a seremvítimas de crimes virtuais, como furto deidentidade. [4]

O que está acontecendo

Como resultado, algumas pessoas tem utilizadoinstrumentos presentes no Código Civil e noCódigo do Consumidor para buscar reparaçõesem diferentes esferas. Em alguns casos, aresponsabilidade é compartilhada não só pelaempresa que hospedava o componente onde oproblema foi gerado, mas ainda outrasenvolvidas no processo de alguma forma [5]. A elaboração de leis e regulamentações quedeﬁnam regras para este cenário como forma degarantir a aplicação de critérios legais para osnegócios on line, vem sendo conduzida emdiversas iniciativas.Em especial sobre falhas em aplicações podemser interpretadas no âmbito dos processoscontra empresas envolvidas, é interessantedestacar duas notícias que mostram o quepodemos esperar de um futuro próximo:O Comitê Gestor da ICP-Brasil busca aaplicação de certiﬁcados digitais nos códigosdos aplicativos de interatividadedesenvolvidos por diversas empresas para a TV Digital como forma de garantir a autoria ea responsabilidade civil [6].Uma empresas de rastreamento e bloqueiode veículos por satélite foi condenada arestituir um de seus clientes, uma vez que osistema utilizado para suportar o processofalhou e permitiu o furto de um caminhão. [7]

Uma proposta de mudança

Uma vez que as falhas em aplicaçõesrepresentam hoje entre 75% a 92% dos ataquesrealizados através da Internet [8], e as empresasbuscam posicionar seus recursos cada vez maisatravés de interfaces web, o que fazer para teraplicações mais seguras e reduzir o risco deimpactos diretos e colaterais da exploração devulnerabilidades?

Onde as fábricas de software falham

As fábricas de software deveriam implementarcontroles que garantissem a remoção devulnerabilidades óbvias de seus produtos, e nãoé isso que tem acontecido. Desde a sua primeiraedição em 2004, o OWASP Top 10 [9] apresentafalhas persistentes em aplicações web edisponibiliza projetos para que estas sejamcorrigidas ainda no ciclo de desenvolvimento,mas elas ainda ocorrem freqüentemente. As causas estão todas na inexistência de umciclo de desenvolvimento seguro, onde nãoexistem controles que veriﬁcam o nível de

Conviso IT SecurityArtigos | Responsabilidade Compartilhada

segurança dos releases desenvolvidos, comoainda é comum a ausência de processos quegarantam a capacitação contínua dosdesenvolvedores como forma de aumentargradativamente a qualidade da segurançaembutida no produto.Mas antes de se apontar o dedo para as fábricasde software, existe um ponto que deve serconsiderado com o mesmo peso para umaavaliação: o que as empresas que compramsoftware tem feito para mudar este cenário?

Onde as empresas falham

Segurança e performance são competênciasantagônicas que devem ser equilibradas paragarantir o atendimento às necessidades docliente dentro de um nível de segurançaadequado. Para garantir o resultado aceitáveldesta equação, é necessário investir em umesforço similar ao empregado para outrasatividades de suporte ao produto final comunsno desenvolvimento de software, tais comodesign de interface e conectores com produtosde mercado. O problema é que estanecessidade não é atendida pelas empresas.O Ponemon Institute publicou a pesquisa “Stateof Web Application Security” citadaanteriormente neste artigo, que foi realizada com638 empresas de grande porte nos EstadosUnidos e mostrou uma realidade que atesta aafirmação anterior:Quase 70% dos entrevistados nãoconsideram que o orçamento parasegurança das aplicações web é suficiente.Das vulnerabilidades consideradas urgentesnas empresas, 34% não são consertadas e55% dos entrevistados acreditam que osdesenvolvedores são ocupados demais comoutras atividades para adequar as falhas desegurança.

A Responsabilidade Compartilhada

Seria inocente esperar uma mudança imediatados dois lados mediante esta situação, uma vezque são necessários recursos extras aos jáprevistos e o atendimento de um nível dematuridade que só o tempo permite chegar. Porémexiste pelo menos uma ação que pode sertomada para mudar este cenário: assumir aresponsabilidade compartilhada. A primeira ação a ser considerada, é estabelecercontratos que deixem claro quais são os papéisde cada um. O OWASP Legal Project [10]apresenta o “OWASP Secure SoftwareDevelopment Contract Annex” como um modelopara ser utilizado nesta ação.O objetivo do documento é servir de base paragarantir o atendimento de um nível de proteçãoadequado para o software através da definiçãode papéis no processo de desenvolvimento,estabelecimento das áreas onde os controles desegurança devem ser considerados e aindaformalizar o uso de testes e recursos técnicosespecíficos.Mais do que uma ação isolada e ineficaz parainjetar a responsabilidade pela segurança dasaplicações para um dos dois lados, éfundamental entender que a mudança seráatingida se algumas premissas forem aceitas econsideradas como base para o processo.

Níveis de proteção racionais

O contrato deve prever que o nível de proteçãodo software irá variar de acordo com o seu nívelde criticidade. Aplicações diretamenterelacionadas ao negócio da empresa ou queestejam sujeitas a uma regulamentação,potencialmente serão mais críticas que asdemais. Aplicar o mesmo nível de proteção emtodos os produtos não é uma ação racional emuito provavelmente vai fazer a fábrica desoftware alocar um esforço que poderia serevitado, e a empresa irá pagar esta conta.Com isso, o programa será em pouco tempocriticado com razão, considerado um custodesnecessário e eliminado. É fundamental tercritérios adequados de onde, como e com qualnível de rigor os controles deverão ser aplicados.

Compartilhamento de atividades

Para que as responsabilidades sejamcompartilhadas, é fundamental que o mesmoocorra com as atividades relacionadas. A fábricade software deverá ter um processo de