Um consórcio composto por peritos em segurança de mais de 30 organizações apelou esta semana às empresas que pressionem os seus fornecedores de software para que estes garantam que aplicam práticas seguras no desenvolvimento de código.
O grupo, liderado pelo SANS Institute e pela Mitre, está igualmente a preparar um documento com orientações sobre a realização de contratos de procurement entre organizações de utilizadores e empresas de desenvolvimento de software.
O documento dá às companhias utilizadoras uma lista de termos específicos e condições que devem ser incluídos em contratos de procurement, para garantir que os fornecedores estão a cumprir os standards de segurança que regem o desenvolvimento de software. Em resumo, o documento sustenta que os fabricantes de software devem assumir total responsabilidade pelos defeitos e vulnerabilidades das suas aplicações.
“Quase todos os ataques são possíveis graças à existência de erros de programação que abre literalmente as portas do software à intervenção de terceiros mal-intencionados”, sustenta Alan Paller, director de investigação do SANS, um grupo norte-americano especializado na formação e certificação na área da segurança. “A única forma de erradicar os erros de programação é tornar as companhias que desenvolvem o software legalmente responsáveis por esses erros”, sublinha.
Além deste documento, o SANS e a Mitre, uma organização sem fins lucrativos dedicada à investigação na área da tecnologia, apresentaram igualmente a sua segunda lista anual “CWE/SANS Top 25” onde constam os 25 erros de programação mais frequentemente ocmetidos pelos fabricantes de software. Os autores da lista dizem que todos os erros nela contidos estão na origem da grande maioria dos ciber-ataques que aconteceram recentemente, incluindo as recentes intrusões no Google e em muitas agências governamentais dos Estados Unidos.
A lista foi compilada com a colaboração de analistas de segurança pertencentes a numerosas organizações, incluindo a National Security Agency, a National Cyber Security Division do Departamento de Segurança Interno dos EUA, a Purdue University, a EMC, a Symantec e a Microsoft.
Os 25 principais erros de programação detectados este ano são praticamente os mesmos que compunham a lista em 2009.
Assim, os erros mais comuns continuam a ser de SQL injection, bem como falhas de cross-site scripting e vulnerabilidades de buffer overflow. Todas estas três categorias de erros estão bem identificadas há já muito tempo e têm sido apontadas como contendo os erros mais comuns em várias listas compiladas sobre o assunto.
Entre as outras vulnerabilidades incluídas na lista deste ano encontram-se falhas relacionadas com a falsificação de pedidos de cross site, com os fracos controlos de acessos e mecanismos de autenticação, definições de fábrica demasiado permissivas e falta de suporte de encriptação.
Este Top 25 surge poucos dias depois de a Trustwave, um fornecedor de serviços de auditoria na área da segurança, ter divulgado um relatório em que afirma que a generalidade das falhas de segurança continuam a ser causadas por vulnerabilidades já detectadas há muito, e não por novos erros.
O relatório da Trustwave baseou-se na análise a dados recolhidos através de mais de 1900 testes de penetração e 200 investigações a fugas de dados, conduzidas a pedido de clientes como a American Express, MasterCard, Discover e Visa, bem como vários retalhistas de grande dimensão. O estudo da Trustwave concluiu que as três formas mais comuns de os hackers acederem às redes corporativas em 2009 foram as aplicações de acesso remoto, as ligações de rede internas e os ataques por SQL injection.
Tags: desenvolvimento de software, Discover e Visa, MasterCard, Mitre, SANS, SQL injection American Express, vulnerabilidades
