Boas intenções de programadores podem criar falhas de segurança

[Mário Monteiro 179]

Boas intenções de programadores podem criar falhas de segurança

É preciso malícia para perceber como algo pode falhar.

Erros podem estar em comportamentos considerados 'funcionalidades'.

 

Altieres Rohr Especial para o G1*

 

“It’s not a bug, it’s a feature”. A frase em inglês, que quer dizer “não é um problema, é uma funcionalidade (ou recurso ou conveniência)” explica um problema e uma mentalidade que existe na criação de softwares. Recursos, funcionalidades e “facilidades” são às vezes mal pensadas, e o que devia ser algo bom se transforma em um problema. O desenvolvedor, para se explicar, acaba soltando a desculpa (que não resolve nada) de que “it’s not a bug, it’s a feature”. Em alguns casos, o erro pode ser bem grave e, invariavelmente – por estar numa função intencional – é fácil de explorar.

 

Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários, que está aberta para todos os leitores. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

Cadastros curtos são práticos, mas podem criar pontos fracos em um sistema. (Foto: Reprodução)

 

Um dos erros mais graves desse tipo estava no processamento de imagens WMF e EMF do Windows. Esse formato de imagens é muito antigo e, na época em que os computadores tinham poucos recursos, ele foi “melhorado” com a capacidade de executar certos códigos.

 

O formato foi abandonado, e depois reintroduzido no Windows XP, sem uma revisão. Com isso, invasores conseguiram executar códigos maliciosos a partir de arquivos de fotos EMF e WMF no final de 2005. O erro era simples de ser explorado – por estar em um recurso legítimo do sistema – e muitos sites populares foram invadidos para servir imagens contaminadas. Na época, computadores não tinham acesso à internet, e esse “recurso” não era um problema na prática. Quando a falha começou a ser explorada, a Microsoft organizou uma equipe de 200 pessoas para consertar a vulnerabilidade.

 

Mais recentemente, o Tweet Button, que permite a usuários twittarem uma notícia ou artigo com um simples clique, foi alvo de um abuso por parte de um vírus. Os desenvolvedores não perceberam o problema em permitir que um clique já resultasse na postagem de um tweet.

 

Em alguns casos, é mais complicado perceber quando algo pode dar errado. O especialista Ronaldo Castro de Vasconcellos cita o cadastro da Nota Fiscal Paulista (NFP). De acordo com o programa da NFP, o consumidor pode receber parte dos valores pagos em produtos, via transferência ou auxílio no IPVA, caso forneça o CPF na hora da compra. Mas o sistema do governo que decide quem receberá o depósito solicita apenas três dados, que são validados: CPF, nome da mãe e data de nascimento. Tudo é feito eletronicamente e nenhum outro documento único de identificação é solicitado.

 

“Não é exatamente uma vulnerabilidade. O problema está em você poder assumir uma conta Nota Fiscal Paulista de outra pessoa com apenas três dados mais ou menos fáceis de serem obtidos”, explica Vasconcellos. “O dinheiro que se resgata não é muito, você precisa gastar bastante para ter um reembolso significativo. Mas um golpe poderia fraudar dezenas ou centenas de contas para ser lucrativo,” afirma. Nesse caso, a facilidade do cadastro – tida como algo positivo – pode criar um ponto fraco no sistema. Detalhe: créditos podem ser transferidos para outra conta NFP, permitindo o resgate de fundos mesmo por quem não possui uma conta bancária em nome do titular. Mais uma vez, uma facilidade pode ser uma dor de cabeça.

 

Voltando às redes sociais, um comportamento do Facebook tentava ajudar quem digitava o endereço de e-mail de forma incorreta. O site exibia dados da pessoa e tentava “sugerir” o e-mail correto – da mesma forma que mecanismos de busca fazem com os termos de pesquisa. Pesquisadores de segurança rapidamente viram que a “função” na verdade era muito útil para descobrir endereços de e-mails válidos.

 

A existência de links curtos, cujo destino não pode ser verificado, é um atestado para o fato de que usuários e desenvolvedores esquecem-se da segurança em nome da comodidade.

 

O especialista em segurança Bruce Schneier fala que esses descuidos dos programadores têm a ver com o “security mindset”, ou a mentalidade de segurança. Schneier cita uma empresa que vendia uma tinta especial, única, para “marcar” o patrimônio. Uma pessoa com a mentalidade de segurança pensaria: “e se eu comprar a tinta para pintar coisas de outras pessoas com ela e depois ligar para a polícia dizendo que fui roubado?”

 

Muitas ideias parecem excelentes fora da mentalidade de segurança, mas depois se revelam muito menos interessantes – e até prejudiciais. “Engenheiros pensam em como as coisas devem funcionar. Especialistas em segurança pensam em como elas podem falhar”, escreveu Schneier.

 

'Não é um problema, é uma conveniência', diz Visa sobre falha em site

Cadastro em promoção da Visa revela dados de quem não completar a segunda etapa.(Foto: Reprodução)

 

Uma falha no site da promoção “Vai de Visa”, destinada a clientes de cartões de crédito e débito da mesma bandeira, apresenta um comportamento no qual um internauta que completar somente a primeira etapa do cadastro pode ter seus dados revelados. Após completar a primeira etapa, dados como RG, telefone, celular e endereço completo ficam disponíveis para quem souber o e-mail do usuário cujo cadastro não foi completado. O problema foi identificado por um leitor do G1.

 

A funcionalidade do site tem o objetivo de permitir que usuários que não completaram o cadastro consigam retomá-lo, sem precisar preencher os dados novamente – ou seja, o comportamento foi pensado como uma funcionalidade, como um recurso do site. Apesar da possibilidade de vazamento de dados, a Visa não considera que seja uma falha de segurança. “Não é um problema, é uma conveniência”, afirmou a empresa.

 

“A Visa nunca solicita informações sensíveis como dados bancários, número completo do cartão de credito, senha, código de segurança (CVV) ou CPF, aos participantes, mantendo assim a segurança do cliente em todos os momentos”, afirmou a companhia. Os dados revelados são nome completo, número de telefone fixo, celular, RG, data de nascimento e endereço. É preciso ter o endereço do e-mail do usuário que iniciou o cadastro para obter os dados.

 

Especialistas divergem se a falha é “de segurança”, mas concordam que é uma falha de design, ou seja, que a funcionalidade não foi bem pensada. “Eu vejo que foi uma falta de malicia mesmo de quem desenvolveu”, afirmou o pesquisador em segurança Ronaldo Castro de Vasconcellos.

 

O problema poderia ser solucionado se a segunda etapa do cadastro, que exige o preenchimento de respostas de segurança – que resguardam os dados – fosse incluída ainda na primeira etapa. Com isso, a comodidade seria mantida, sem o risco de ter dados roubados.

 

Vasconcellos acha que a Visa deveria dar mais atenção ao caso. “A postura da empresa com desenvolvimento de sistemas deveria ser a mesma com os outros ramos de atividade. Proteger os dados dos clientes é tão importante quanto proteger dados do cartão de credito, algo com que eles provavelmente se preocupam por causa de PCI [padrão da indústria para processamento de transações de cartão]”, diz.

 

“A vantagem de nós que trabalhamos com segurança é que vemos mal em tudo”, brinca o pesquisador para explicar por que alguns programadores criam “comodidades” que na verdade se revelam problemáticas, como essa da Visa.

 

“É uma falha, pois disponibiliza informações pessoais dos usuários e compromete a privacidade”, afirma o especialista Wagner Elias. Elias é Gerente de Pesquisa e Desenvolvimento da empresa de segurança Conviso e líder do capítulo brasileiro da OWASP, uma organização que busca divulgar conhecimentos sobre segurança em sites de internet.

 

Segundo Elias, a brecha é de “lógica e arquitetura”, porque, além de comprometer os dados do cliente, realiza validação de dados no lado do usuário (navegador do internauta), quando o certo seria realizar no próprio servidor da promoção. Para ele, a Visa teve uma “postura de desconhecimento dos riscos”, porque as informações vazadas poderiam ser usadas em um golpe de engenharia social (enganação) que permitira a um criminoso obter dados mais sensíveis, como o cartão de crédito.

Outras falhas

Há muitas brechas “bobas” em sites de internet que ocorrem por descuido de programadores. “Os recursos que compõem aplicações web 2.0 são pratos cheios para estas falhas”, afirma o especialista Wagner Elias.

 

O desenvolvimento rápido e a sede por novos recursos em sites web também leva a descuidos. Para Elias, há muitos recursos de segurança que são esquecidos ou mal empregados. Iniciativas como a OWASP buscam educar desenvolvedores, ensinando como proteger as aplicações web. O realizará inclusive uma conferência entre os dias 16 e 19 de novembro.

 

Mas, se conhecer as técnicas de proteção em programação é uma “arte” restrita para quem cria aplicações, a mentalidade de segurança pode ser aplicada por qualquer um, em qualquer situação. Tente pensar em como qualquer coisa pode falhar. Quando uma ideia parecer muito boa e prática, pense como ela pode ser “abusada”. Isso irá permitir avaliar melhor se um recurso é realmente desejável ou não.

 

A coluna Segurança para o PC de hoje fica por aqui. Na quarta-feira (5) tem o pacotão de respostas, portanto deixa a sua dúvida na área de comentários. Até a próxima!

 

* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

 

Fonte: G1

[Motta 645]

Interessante !

[Mário Monteiro 179]

E de certa forma perigoso

 

Este negocio de conveniência tem que ter critérios

[RafaelSonyLock 18]

É, nos cadastros, Ajuda, mas ao mesmo tempo, atrapalha !

 

Ajuda por que fica mais rápido

Atrapalha por que fica perigoso, vulnerável !

[Pablo RD 5]

Mas só se torna um problema/erro/vulnerabilidade porque o ser humano é mau e ganancioso, e por isso sempre tem aqueles que abusam das brechas...