Segurança de AplicaçãoSem categoria

Falha em AppSec: Quebra de Autenticação

É cada vez mais comum vermos que as empresas estão direcionando suas soluções para aplicações web, digitalizando os negócios e comprovando aquilo que deixou de ser uma tendência para se tornar uma exigência do mercado.

Trata-se de um grande salto para que todos possam ter acesso a serviços e produtos que muitas vezes seriam dificilmente encontrados fora da internet. No entanto, temos que lembrar que nossas aplicações estarão expostas, e desta forma, suscetíveis a acessos prejudiciais. 

Você pode ouvir a versão em áudio deste artigo:

É comum vermos falhas em aplicações web que seriam facilmente  corrigidas em um processo de desenvolvimento estruturado e se tivessem levado o pensamento em segurança corretamente implementado desde o início.

E é um exemplo disso que vamos colocar aqui neste texto.

Um exemplo de falha em appsec: quebra de autenticação

No mês de março, foi divulgado que uma empresa de soluções de pagamentos automáticos teve cerca de 1.6 milhão de dados vazados e oferecidos em fóruns de vendas de dados, o que pode ter rendido ao criminoso aproximadamente 2 milhões, que poderiam inclusive serem pagos por meio de moedas digitais, como o Bitcoin.

Aparentemente a falha usada para acesso aos dados está relacionada com a quebra de autenticação, falha esta que foi descrita no relatório de vulnerabilidades da OWASP, OWASP TOP 10.

A falha de Quebra de Autenticação é uma falha no processo de autenticação do usuário, que, quando vulnerável, permite que usuários sem os devidos privilégios tenham acesso a dados que normalmente não deveriam ter.

Com esta vulnerabilidade explorada, foi possível ao atacante ter acesso a dados que deveriam ser mantidos em sigilo por se tratar de dados sensíveis e consequentemente, de muito valor aos criminosos. 

Segundo informações, a empresa afirma que este seria um comportamento normal visto que o acesso para estas consultas se dariam por meio de uma API – interface que permite a comunicação e obtenção de dados – disponibilizada publicamente para seus parceiros terem acesso.

No entanto, a continuidade do comunicado reforça que houve sim uma falha no processo de autenticação da API e  garantir a segurança destes componentes é de extrema importância, pois é confirmado que, para ter acesso aos dados, o parceiro precisa estar autenticado.

A questão é que falhas deste tipo seriam facilmente identificadas em processos de desenvolvimento seguro, com validações de segurança devidamente estruturado no pipeline do processo.

Possível Correção

O processo de autenticação deve ser fortemente baseado em um política de controle de acesso e é recomendação básica que antes deste componente da solução ser implementado, a equipe de desenvolvimento deve avaliar todos os controles que deverão ser feitos.

É recomendado que ao construir esta política seja criado uma matriz que indica como estes controles serão implementados e a quem será dado o acesso.

Imaginando que o processo já tenha sido criado e implementado na aplicação, testes e validações durante o processo de desenvolvimento poderiam identificar falhas, que usando um processo de gestão de vulnerabilidades estruturado, o que facilitaria o pŕocesso de correção da falha.

Muito além dos pontos de validação de códigos, há outros pontos que ajudariam neste problema. A realização de Modelagens de Ameaças ou mesmo a presença de Security Champions em seu time, por exemplo

Todos estes pontos são importantes e a constante capacitação do time de desenvolvimento é um dos pontos principais que devem ser observados por qualquer empresa.

Mas se esquecermos de todo aspecto técnico e nos focarmos só no aspecto legal, fica claro que o impacto financeiro à empresa seria extremamente alto. 

A LGPD

No Brasil, já há legislação a respeito da exposição de dados, que possibilita até mesmo processos por danos morais.

Mas, em agosto de 2020 entra em vigor a Legislação que tratará diretamente de dados e privacidade. A Lei Geral de Proteção de Dados – LGPD, trará uma série de novos pontos que devem ser observados pelas empresas, sendo um destes pontos o que determina o valor de 52 milhões de reais ou 2% do faturamento para casos de vazamento de dados.

Tendo isso como um cenário bem próximo, acreditamos que é bem mais prático, barato e eficiente o investimento em Application Security, usando plataformas e conhecimento específico para ajudar as empresas neste processo.

Esperamos que este texto possa abrir os olhos de muitos gestores que ainda acreditam que segurança em aplicações web é apenas a execução de testes de intrusão de forma simples e esporádica.

SAIBA MAIS SOBRE NOSSOS SERVIÇOS

A segurança como atividade contínua

Já abordamos neste artigo o impacto que a negligência à segurança de aplicação, ou mesmo a má gestão da mesma podem acarretar para empresas. E foi justamente por conhecer os principais desafios em Segurança de Aplicações que a Conviso criou o AppSec Flow, uma plataforma que suporta todo o ciclo de segurança em desenvolvimento de software e gestão de vulnerabilidades. 

Com isso, a segurança deixa de ser gargalo e se torna uma atividade contínua, integrada à todo o ciclo de vida de desenvolvimento de software, com as análises certas rodando no momento certo, dentro das melhores práticas e, acima de tudo, sem reduzir a velocidade do andamento da empresa. 

Leia nossos artigos sobre o AppSec Flow

Click me
About author

Articles

Mais de 15 anos de experiência em segurança da informação e aplicações, graduado em processamento de dados, trabalhei como professor universitário e participei ativamente como instrutor de treinamento para mais de 6000 desenvolvedores em equipes de TI. Sou pai de duas meninas e trader nas horas vagas.
Related posts
Segurança de Aplicação

O mercado de segurança de aplicações no Brasil

Quando a Conviso foi fundada, em 2008, desenvolvimento seguro de software era então um tema…
Read more
Segurança de Aplicação

Por que APIs podem ser um alto risco para as empresas

Quando olhamos para o mundo de desenvolvimento e sua evolução nos últimos anos, podemos dizer que…
Read more
MobileSegurança de AplicaçãoSem categoria

3 serviços de AppSec que não podem ser negligenciados no fim de ano

2020 tem sido um ano atípico, mas mesmo em anos incomuns, algo é certeiro: na correria de fim de…
Read more

Deixe um comentário