Riscos das aplicações Web

Fonte: vu

O especialista em produtos WAF – Web Application Firewall – da norte-americana Barracuda, Oliver Wai, afirma que entre 75 e 90% dos ataques, hoje, são contra aplicações web e que as empresas ainda não têm consciência da necessidade de proteger esses ativos. Wai explica que a segurança das aplicações, principalmente aquelas conectadas a uma rede aberta e perigosa como é a Internet é bastante complexa. Essa complexidade advém do fato de que as aplicações web, e-commerce, Internet bank, na realidade são agrupamentos bastante heterogêneos de plataformas, bancos de dados, servidores de aplicação etc.. “Para garantir a segurança das aplicações Web, recentemente foi criada uma nova geração de dispositivos, os WAF - Web Applications Firewalls”, comenta.

A utilização da web para negócios é um fato irreversível e seu crescimento tem sido exponencial. O e-commerce brasileiro cresceu 40% no primeiro semestre de 2010, em comparação com o mesmo período de 2009, segundo a 22ª edição do Relatório ‘WebShoppers’ do e-bit, que teve apoio da camara-e.net. Além disso, de acordo com o www.cetic.br, os sites ‘.br’ ultrapassaram a casa dos dois milhões, em junho de 2010, um incremento de 24% em relação a junho de 2009. Já os incidentes reportados ao CERT.br cresceram 61%. Foram 358.343, em 2009, contra 222.528, em 2008.

Wai explica que existem dois problemas de segurança fundamentais. O acesso a serviços corporativos e bancários, a realização de compras, consultas, pesquisas são feitos pelas portas públicas (80 e 443), que não podem ser bloqueadas pelos firewalls comuns, pois os visitantes não acessariam o site e nem as aplicações. Por isso os hackers concentram os ataques nessas portas. O outro problema são as falhas de segurança presentes no desenvolvimento das aplicações.

Um estudo do Departamento de Defesa dos Estados Unidos indica que há em média 15 erros críticos de segurança a cada mil linhas de código. E de acordo com o Forrester Researcher, mesmo que um defeito de segurança seja detectado leva em média de 30 a 90 dias para ser consertado, testado e aplicado. Os hackers sabem da dificuldade de escrever aplicações web seguras e exploram essas vulnerabilidades. Os softwares que escaneiam aplicações não corrigem a parte defeituosa, identificada no código e, por se concentrarem nas camadas mais baixas, não protegem as aplicações da maior parte desses ataques. Apenas os Application Firewalls resolvem estes e outros problemas. O Barracuda Web Application Firewall segue metodologia e tem a tecnologia e potência necessárias para resolver essas brechas.