Segurança de AplicaçãoSem categoria

Falha em AppSec: Quebra de Autenticação

É cada vez mais comum vermos que as empresas estão direcionando suas soluções para aplicações web, digitalizando os negócios e comprovando aquilo que deixou de ser uma tendência para se tornar uma exigência do mercado.

Trata-se de um grande salto para que todos possam ter acesso a serviços e produtos que muitas vezes seriam dificilmente encontrados fora da internet. No entanto, temos que lembrar que nossas aplicações estarão expostas, e desta forma, suscetíveis a acessos prejudiciais. 

Você pode ouvir a versão em áudio deste artigo:

É comum vermos falhas em aplicações web que seriam facilmente  corrigidas em um processo de desenvolvimento estruturado e se tivessem levado o pensamento em segurança corretamente implementado desde o início.

E é um exemplo disso que vamos colocar aqui neste texto.

Um exemplo de falha em appsec: quebra de autenticação

No mês de março, foi divulgado que uma empresa de soluções de pagamentos automáticos teve cerca de 1.6 milhão de dados vazados e oferecidos em fóruns de vendas de dados, o que pode ter rendido ao criminoso aproximadamente 2 milhões, que poderiam inclusive serem pagos por meio de moedas digitais, como o Bitcoin.

Aparentemente a falha usada para acesso aos dados está relacionada com a quebra de autenticação, falha esta que foi descrita no relatório de vulnerabilidades da OWASP, OWASP TOP 10.

A falha de Quebra de Autenticação é uma falha no processo de autenticação do usuário, que, quando vulnerável, permite que usuários sem os devidos privilégios tenham acesso a dados que normalmente não deveriam ter.

Com esta vulnerabilidade explorada, foi possível ao atacante ter acesso a dados que deveriam ser mantidos em sigilo por se tratar de dados sensíveis e consequentemente, de muito valor aos criminosos. 

Segundo informações, a empresa afirma que este seria um comportamento normal visto que o acesso para estas consultas se dariam por meio de uma API – interface que permite a comunicação e obtenção de dados – disponibilizada publicamente para seus parceiros terem acesso.

No entanto, a continuidade do comunicado reforça que houve sim uma falha no processo de autenticação da API e  garantir a segurança destes componentes é de extrema importância, pois é confirmado que, para ter acesso aos dados, o parceiro precisa estar autenticado.

A questão é que falhas deste tipo seriam facilmente identificadas em processos de desenvolvimento seguro, com validações de segurança devidamente estruturado no pipeline do processo.

Possível Correção

O processo de autenticação deve ser fortemente baseado em um política de controle de acesso e é recomendação básica que antes deste componente da solução ser implementado, a equipe de desenvolvimento deve avaliar todos os controles que deverão ser feitos.

É recomendado que ao construir esta política seja criado uma matriz que indica como estes controles serão implementados e a quem será dado o acesso.

Imaginando que o processo já tenha sido criado e implementado na aplicação, testes e validações durante o processo de desenvolvimento poderiam identificar falhas, que usando um processo de gestão de vulnerabilidades estruturado, o que facilitaria o pŕocesso de correção da falha.

Muito além dos pontos de validação de códigos, há outros pontos que ajudariam neste problema. A realização de Modelagens de Ameaças ou mesmo a presença de Security Champions em seu time, por exemplo

Todos estes pontos são importantes e a constante capacitação do time de desenvolvimento é um dos pontos principais que devem ser observados por qualquer empresa.

Mas se esquecermos de todo aspecto técnico e nos focarmos só no aspecto legal, fica claro que o impacto financeiro à empresa seria extremamente alto. 

A LGPD

No Brasil, já há legislação a respeito da exposição de dados, que possibilita até mesmo processos por danos morais.

Mas, em agosto de 2020 entra em vigor a Legislação que tratará diretamente de dados e privacidade. A Lei Geral de Proteção de Dados – LGPD, trará uma série de novos pontos que devem ser observados pelas empresas, sendo um destes pontos o que determina o valor de 52 milhões de reais ou 2% do faturamento para casos de vazamento de dados.

Tendo isso como um cenário bem próximo, acreditamos que é bem mais prático, barato e eficiente o investimento em Application Security, usando plataformas e conhecimento específico para ajudar as empresas neste processo.

Esperamos que este texto possa abrir os olhos de muitos gestores que ainda acreditam que segurança em aplicações web é apenas a execução de testes de intrusão de forma simples e esporádica.

SAIBA MAIS SOBRE NOSSOS SERVIÇOS

A segurança como atividade contínua

Já abordamos neste artigo o impacto que a negligência à segurança de aplicação, ou mesmo a má gestão da mesma podem acarretar para empresas. E foi justamente por conhecer os principais desafios em Segurança de Aplicações que a Conviso criou o Conviso Platform, uma plataforma que suporta todo o ciclo de segurança em desenvolvimento de software e gestão de vulnerabilidades. 

Com isso, a segurança deixa de ser gargalo e se torna uma atividade contínua, integrada à todo o ciclo de vida de desenvolvimento de software, com as análises certas rodando no momento certo, dentro das melhores práticas e, acima de tudo, sem reduzir a velocidade do andamento da empresa. 

Leia nossos artigos sobre a Conviso Platform

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Code FightersSegurança de Aplicação

Como integrar o Semgrep no CI/CD e enviar os resultados para a Conviso Platform

Atualmente, é uma prática muito comum integrar verificações de segurança durante a fase de…
Read more
Segurança de Aplicação

Impactos Negativos Gerados pela Ausência de Logs e Monitoramento de Segurança

Primeiramente, os logs são registros de atividades gerados também por sistemas, aplicações e…
Read more
Segurança de Aplicação

Dockers e Containers

Containers são soluções cada vez mais populares na indústria de desenvolvimento de software.
Read more

Deixe um comentário