[Evento] Testadores 2015 – Segunda edição. O que rolou? [Parte 2/2]

Olá!

Sentiram saudades?

Infelizmente não estou conseguindo manter as frequências dos posts, espero que vocês entendam que existem motivos para isso… mas sempre que possível estou digitando e pensando nos posts (não gosto de ir digitando aos poucos o mesmo post pois acabo perdendo a linha de raciocínio), mas é o que tenho conseguido fazer 😦 (tem um off no final do post)

Agora indo ao post, queria falar muito sobre todas várias palestras, mas como o evento já passou faz algum tempo, elas não estão TÃO frescas na minhas mente, então gostaria de falar sobre a palestra “Testando a segurança de aplicações web, com Vinícius Coque“, foi uma palestra que chamou bastante minha atenção, por considerar a parte de segurança um fator tão importante, e foi bem legal conhecer formas novas de teste de segurança, como algumas empresas tratam isso, e ver que é uma área de foco interessante para testers se especializarem.

 

Não é novidade que nesses últimos anos a tecnologia vem se tornando cada vez mais essencial no nosso dia-a-dia, o conforto de ter muita coisa centralizada em poucos aparelhos, temos em nossos computadores e  celulares várias informações importantes, apps de banco, dados importantes nos e-mails, nos nossos computadores, senhas e muitas outras coisas. E se formos pensar em empresas? Quantos dados importantes elas não tem sobre os clientes (além de dados financeiros?), em muitas empresas, só de acessar o banco dos clientes nós já conseguimos nome, telefone, e-mail e endereço dos clientes,  e esses dados na mão de uma pessoa mal intencionada podem causar um dano muito maior que um simples dano tecnológico, são informações que podem ajudar uma ameaça, golpe… e essas coisas que não são legais nem de lembrar.

Se o uso da tecnologia está aumentando, obviamente ela se torna alvo de ataques por pessoas mal intencionadas, no começo da palestra o Vinícius exibiu uma planilha de mostra o quanto a quantidade de ataques online tem aumentado drasticamente nos últimos anos.

E infelizmente alguns profissionais ainda não dão devido valor a segurança de uma aplicação, e também (ainda) não existem muitos profissionais de qualidade focados em segurança, e nós como usuários/empresas também temos alguns conceitos que facilitam um ataque:

  • “O firewall me protege”

O firewall  não filtra os dados enviados pelo usuário, e uma aplicação pode estar enviando dados sem que você saiba (dados que podem fazer a aplicação cair inclusive) e as vezes o perigo está do nosso lado, pode existir um funcionário mal intencionado dentro da empresa que pode aproveitar das brechas do firewall. (E sim, existem funcionários assim.)

  • “Nem tenho nada de valor”

Depende né? Isso é bem relativo, como disse lá em cima, informações são perigosas e inclusive valem dinheiro ($140 por informação segundo 2015 Cost of data Breach Study IBM), se teu sistema só tem o nome, e-mail e senha do usuário isso também tem valor, por que o pessoal costuma repetir senha nos lugares né…então é só ir tentando que pode dar certo… e mesmo que não roubem nenhum dado,  isso é horrível pro nome da empresa… (Nãp é mesmo apple e PSN?)

  • “Não vai acontecer comigo”

Sério….essa frase é perigosa na vida, nunca usem ela pra nada….aqui não é diferente.

Em 2014 60% dos ataque foram direcionados para empresas pequenas e médias, não é por que eles tem dados mais importantes que as empresas grandes… mas empresas grandes (em teoria) investem mais em segurança….então mais fácil focar nas empresas menores .

 

Agora que já mencionamos alguns erros que cometemos, como deixar a empresa mais segura? Quais são os conceitos opostos?

  • Assumir que o sistema não está seguro

Pode parecer paranoia, mas se você estiver sempre preocupado com a segurança, você vai acabar investindo cada vez mais, e será um investimento contínuo.

  • Identificar riscos relacionados ao negócio

Se você tem dados como cartões de crédito dos clientes salvo no teu banco, alguém pode querer roubar os números, se você é um site de compra alguém pode tentar fraudar uma compra com dados inválidos, se você faz um joguinho, as pessoas podem tentar conseguir cash de graça no jogo (e você vai sair no prejuízo)…por aí vai

  • Manter o equilíbrio entre segurança e usabilidade

Alguém já trabalhou naquelas empresas que a senha de acesso ao sistema expira duas vezes no mês, e a senha nova tem que ter número, letra maiúscula e minúscula, tem que ter caractere especial, não pode ter sequencia numérica igual ao seu aniversário, tem que ter pelo menos 12 caracteres e não pode ser igual a nenhuma senha digitada nos último 12 meses? Então, é um exemplo de desequilíbrio total….você vai ter usuários resetando a senha todos os dias no suporte por que não conseguem lembrar a senha que digitaram ontem (ou vão anotar em um papel, que vão deixar no crachá, e crachá que eles deixam em cima da mesa na praça de alimentação do shopping pra guardar lugar)

  • Realizar testes de segurança constantes

Acho que a frase já se explica sozinha, nós sabemos a importância de testes em um sistema, agora vamos aplicar isso na parte de segurança.

 

Agora vamos falar dos testes em si?

Ele explicou sobre pentest (penetration test)

Que é basicamente um teste simulando um ataque a aplicação, vindo de uma fonte maliciosa (ou de um usuário que só tá tentando burlar o bloqueio de sites para poder usar o facebook), saber um pouco de programação ajuda bastante para esses testes

É uma metodologia aplicada em:

  • Aplicações web e desktop
  • Redes cabeadas e wireless
  • Sistemas operacionais

Objetivos do Pentest:

  • Descobrir possíveis vetores de ataque

Por onde o usuário mal intencionado pode tentar me atacar? Alterando o link do URL, usando ferramentas específicas, via e-mail ou todas as anteriores e mais algumas?

  • Grau de risco das vulnerabilidade

Já estamos acostumados a avaliar risco de bugs não é mesmo? Isso não é tão diferente, se eu sou um site de compras, é muito mais perigoso ter uma vulnerabilidade na hora de pagar ou em um usuário alterar o preço de um produto, do que em um site de medicina onde o problema é o usuário gerar receitas ou atestados falsos.

  • Identificar falhas que não são encontradas por scanners automáticos

Scanners seguem padrões, logo são mais fáceis de serem enganados. Então sempre verificar essas brechas.

  • Avaliar o impacto de ataques bem sucedidos

“Mas e se o ataque acontecer?” com esse ataque, até que ponto o usuário consegue ir? Quantas coisas ele consegue acessar e alterar?

  • Testar a capacidade de resposta a incidentes de segurança

“Mas sério….e se acontecer MESMO um ataque? O que vai acontecer” algumas empresas até pedem para uma equipe de segurança quebrar o sistema, e ver qual que vai ser a resposta do sistema e da equipe de segurança interna. Qual a velocidade e eficácia da resposta ao problema? O Vinícius contou um caso bem legal sobre os testes de segurança da Amazon, que eles simulam o ataque…só que não avisam ninguém que é uma simulação (uma boa forma inclusive de ver se teus funcionários não tem problemas cardíacos)

  • Justificar investimento em pessoas ou tecnologias

Pois é….se o teste prova que problemas de segurança estão ocorrendo, você tem um argumentos para investir mais na segurança… ou se os testes mostram que o sistema está seguro, você pode falar “olha…estamos valendo o dinheiro que vocês estão investindo”

 

Bem, essa é uma explicação bem por cima sobre essa palestra (eu realmente aconselho vocês a assistirem essa palestra, e mostrar para os DEVs, para os chefes, para os amigos que tem empresa, mostra até pra mãe e pro pai se eles forem assistir), além disso ele mostra uma parte mais técnica e prática de como fazer os testes, como algumas invasões ocorreram (e como existem brechas simples), é realmente uma palestra importante, e que pode abrir as portas  de um novo horizonte para muitos testers (e usuários), e temos também um exemplo prático de como saber programar pode ajudar a vida de um tester, e melhorar a qualidade do seu serviço.

[Off] No próximo post eu volto com a programação normal de posts que não são resumos de eventos e palestras, minha cabeça está a mil com muitas coisas acontecendo na vida pessoal, o que tem prejudicado bastante o blog, mas nesses 19 dias sem post o pessoal veio perguntar sobre o blog, se ele tinha parado ou coisas assim…

Não se preocupem, pois esse blog não irá parar, e espero que essa frequência de posts reduzidas seja algo temporário. Com menos de um ano de blog ele já me abriu muitas portas, cresci como pessoa e profissionalmente, conheci muita gente legal, tenho aprendido muito… e uma coisa que me animou muito foi que teve gente que começou  a estudar e está usando o blog como uma referência (além de vários outros, é claro), quando comecei o blog não pensei que tanta coisa fosse acontecer em tão pouco tempo, nunca pensei que iria conseguir ajudar alguém em menos de um ano, ainda me vejo como um profissional muito incompleto e inexperiente. Mas graças a vocês que estão lendo os posts de vez em quando, ou acompanhando o blog com frequência, ou até vindo entrar em contato comigo esse blog se tornou uma fonte de muita alegria e incentivo pra mim.

Então muito obrigado a todos!

Ps. para aqueles que entram em contato via linkedin…desculpem a demora em aceitar…eu sempre esqueço de acessar a ferramenta, só acesso quando eles começam a mandar e-mail “ei, tem gente que te adicionou faz uma semana…não vai aceitar não?”…não é nada pessoal, mais fácil me encontrar no twitter ou face ou até por e-mail

 

 

 

 

Anúncios

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s