web 2.0 e suas vulnerabilidades - revista eletrônica da faculdade

Revista Eletrônica da Faculdade Metodista Granbery
http://re.granbery.edu.br - ISSN 1981 0377
Curso de Sistemas de Informação - N. 6, JAN/JUN 2009
WEB 2.0 E SUAS VULNERABILIDADES
Carla da Silva Teixeira *
Jorge Rafael Hara Moreira **
Patrícia Lima Quintão ***
Luiz Guilherme da Silva Probst****
RESUMO
Os aplicativos da Web sofrem mudanças significativas com a Web 2.0, em
lugar dos usuários simplesmente visualizarem informações na Web em páginas
estáticas, agora eles podem: publicar conteúdos, estabelecer colaboração,
combinar dados e serviços de várias formas e fontes, criar experiências e utilizar a
inteligência humana para converter cada vez mais informação em conhecimento.
Este artigo mostra a utilização da tecnologia Web 2.0, cada vez mais presente nas
empresas, agregando-se aos processos de negócio. O emprego de segurança
nesta tecnologia torna-se imprescindível para a continuação das atividades
empresariais.
Palavras-chave: Web 2.0, Segurança da Informação, Vulnerabilidades.
ABSTRACT
Web applications suffer significant changes, instead of users simply view information on the web
pages, now they can: publish content, establish collaboration, combining data and services in
various forms and sources, create experiences and use human intelligence to convert more
information into knowledge. This article shows the use of Web 2.0 technology, increasingly in the
companies, adding up to the business processes. The use of safety procedures becomes essential
for the continuation of business activities.
Key-words: Web 2.0, Security office, Vulnerabilities
* Graduado em Sistemas de Informação pela Faculdade Metodista Granbery de Juiz de
Fora – MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery –
MG; analista pelo CAEd/UFJF. E-mail: [email protected]
** Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de Fora MG;
pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery – MG. E-mail:
[email protected]
*** Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ; Especialista em
Gerência de Informática pela Faculdade Machado Sobrinho; Coordenadora pedagógica e
professora do curso de Pós-Graduação em Segurança da Informação da FMG; Coordenadora de
Segurança da Informação na Prefeitura de Juiz de Fora. E-mail: [email protected].
**** Graduado em Administração pela Universidade Federal de Juiz de Fora – MG; pósgraduando em Gestão Financeira pelo Instituto Brasileiro de Mercado de Capitais - IBMEC –
MG; assistente administrativo II pelo CAEd/UFJF. E-mail: [email protected]
2
1. INTRODUÇÃO
O avanço da Internet no mundo globalizado tem gerado uma revolução na
maneira de trabalho e convívio social entre seus usuários e redes corporativas. As
diversas formas de comunicação e conhecimento, que podem ser adquiridos através
da Internet, melhoram de forma significativa o desempenho e conhecimento dos
usuários de uma instituição.
Tem-se, hoje, agregado a todo avanço ocorrido na Internet, a Web 2.0,
que consiste em uma nova forma de tecnologia online, sendo uma segunda geração
da Web 1.0, trazendo novos conceitos e formas de troca de informação e
colaboração entre os internautas.
Os serviços relacionados à Web 2.0 têm potencializado processos de
trabalho coletivo, produção e circulação de informações, e até mesmo troca afetiva e
de construção social de conhecimento com o apoio da informática. Na Web 2.0 o
conteúdo fica mais dinâmico e com isso a sua publicação mais flexível, qualquer
pessoa pode publicar ou melhorar a qualidade de determinado conteúdo
(COMPUTERWORLD, 2007).
Tendo-se em vista que a utilização da tecnologia Web 2.0 está cada vez
mais presente no ambiente organizacional, agregada no desenvolvimento dos
processos de negócio, este artigo tem como objetivo mostrar serviços e ferramentas,
analisando os impactos, as ameaças e as vulnerabilidades presentes nas empresas
que utilizam a Web 2.0, para evitar um impacto negativo aos negócios, motivados
por incidentes de segurança.
Nesse
artigo
procura-se
destacar,
inicialmente,
as
principais
características da Web 2.0. Em seguida, são destacadas as vulnerabilidades e
principais ataques que podem afetar o ambiente das empresas. As duas últimas
seções destacam, respectivamente, as considerações finais do trabalho e
referências bibliográficas utilizadas.
A metodologia empregada na elaboração deste trabalho foi constituída
por pesquisa bibliográfica nacional e internacional na qual foram coletadas
informações de livros, revistas especializadas e teses.
3
2. WEB 2.0 NAS REDES CORPORATIVAS
A “Web 2.0” começou a ganhar destaque com a primeira conferência de
brainstorming, sobre Web 2.0 em 2004 e a partir de um artigo de Tim O’Reilly,
publicado em 2005 (O’REILLY,2004). O´Reilly (2005) cunhou a expressão Web 2.0
para designar um movimento online que contemplava sites e serviços que
propunham uma interação maior entre usuários e conteúdo online. No artigo
publicado em 2005, o autor apresenta possibilidades e competências centrais de
empreendimentos baseados na Web 2.0.
A Web 2.0 é caracterizada pela intensificação da participação e do efeito
rede. Fala-se em usuários mais ativos e em utilização da inteligência coletiva. O que
caracteriza essa nova Web é a existência de serviços e não de pacotes fechados de
software, sua arquitetura é edificada sob a cooperação, os dados podem ser
transformados (O’REILLY,2004).
Nos últimos anos surge uma nova geração de serviços online, valorizando
a participação dos usuários. A tecnologia Web 2.0 é baseada em conhecimento,
tendo como finalidade tornar os ambientes online mais dinâmicos, através da
colaboração dos usuários.
Esta tecnologia é constantemente utilizada nas empresas, que são alvos
de diversas ameaças que circulam pela Internet, com isso torna-se preocupante a
segurança da informação que trafega pela Web 2.0.
As soluções de redes sociais (Web 2.0) em redes corporativas
representam novas possibilidades de produzir e multiplicar o capital intelectual e
humano, com enorme redução de custos. Gartner (2007) afirma que não existe uma
forma que elimine todos os riscos de perda de informação, é importante e
necessário reavaliar as ferramentas, e as estratégias que envolvem análise,
detecção e defesa de segurança da informação, para utilizar tecnologia da Web 2.0,
com segurança.
4
3. SERVIÇOS RELACIONADOS À WEB 2.0
De acordo com a pesquisa exploratória realizada, existem vários serviços
e ferramentas Web 2.0 que auxiliam o usuário no seu dia-a-dia, facilitando e
contribuindo com o intelectual humano. Os principais são:
3.1 WIKIPÉDIA
É uma enciclopédia online, colaborativa e escrita internacionalmente por
muitas pessoas diferentes. Os artigos publicados podem ser transcritos, modificados
e ampliados, preservando os direitos de cópias e suas modificações.
Essa
ferramenta tem o foco no conteúdo, na colaboração e no compartilhamento do
conhecimento intelectual de cada usuário.
Na Figura 1 mostra-se o site do Wikipédia.
Figura 1. Site Wikipédia (WIKIPEDIA, 2009)
3.2 BLOG OU WEBLOG
É uma página Web que pode ser composta por pequenos parágrafos,
conteúdos e temas, e mostra uma infinidade de assuntos tais como: links,
fotografias, diários, artigos, notícias, poemas, ideias, pode-se dizer tudo que a
imaginação do usuário permitir (BLOGGER BRASIL, 2009).
5
O blog pode ser usado também como as mensagens instantâneas, o
usuário escreve sobre qualquer assunto e todos que visitam o blog compartilham e
agregam conhecimento do tema exposto.
Uma grande parte dessa ferramenta é pessoal, dividindo seus
conhecimentos e até mesmo seus sentimentos e há também pessoas que formam
um grupo e todos inserem ideias e atualizam as informações contidas no blog.
Existem os voltados para divertimento e trabalho, o que hoje já é usado por várias
empresas no Brasil, como exemplo o banco HSBC. Os blogs permitem às famílias,
grupos de trabalho e empresas se comunicarem de forma rápida, simples e
organizada, além das formas já conhecidas tais como e-mails e grupo de discussão.
Qualquer usuário pode criar seu próprio blog, sendo familiar ou para equipe de
trabalho, utilizando sempre a criatividade e inteligência coletiva e assim trocando
informação seja ela foto da família ou discussão da equipe de trabalho, conforme
Figura 2 (BLOGGER BRASIL, 2009).
Figura 2. Site Blog (FLÁVIO ALEXANDRE, 2009)
3.3 FLICK
Possibilita a publicação de álbuns digitais. A ferramenta possui serviços
de localização espacial, assim as fotos podem ser localizadas em mapas por
imagens de satélite, conforme visto na Figura 3 (FLICKR, 2009).
6
Figura 3. Site Flickr (FLICKR, 2009)
3.4 YOUTUBE
Permite aos usuários compartilhar e postar vídeos, áudios, sejam suas
criações, propagandas, paródias ou lances esportivos.
Diariamente são postados milhares de filmes (vide Figura 4), curtametragem de filmagens caseiras, familiares e os clássicos do cinema nacional ou
internacional (IDG NOW, 2008).
Segundo o IDG now (2008), o YouTube é um dos sites que mais cresceu
na Internet brasileira, recebendo mais visitas do que o Google.
Figura 4. Site You Tube (YOUTUBE 2009)
7
3.5 MOODLE
É uma ferramenta livre, utilizada para produção e gerenciamento de
atividades educacionais, sendo baseada na Internet ou redes sociais. Já disponível
em 34 idiomas, funciona em várias plataformas Unix, Linux, Windows, Mac Os X,
Netware e para sistemas que suporte a linguagem PHP, portanto pode incluir uma
grande massa de provedores de hospedagem. Esta ferramenta conforme Figura 5 é
composta por fóruns sala de bate papo, testes, pesquisas de opinião, coletando e
revisando tarefas (MOODLE, 2008).
Figura 5. Ambiente Moodle (PGPE. GRANBERY, 2009)
3.6 ORKUT
É uma rede social que ajuda os usuários a manter relacionamentos
existentes mesmo à distância e estabelecer novas amizades. Esta ferramenta (vide
Figura 6) facilita com que as pessoas compartilhem seus hobbies e interesses,
encontrem relacionamentos afetivos, e ainda estabeleçam novos contatos de
trabalho, também pode criar e participar de universo de comunidades online para
discutir eventos (INFO, 2008).
8
Figura 6. Orkut (ORKUT, 2009)
4. WEB 2.0 – O DESAFIO DA SEGURANÇA EM REDES DE
INFORMAÇÕES
É inegável que a Web 2.0 trouxe diversas vantagens e benefícios aos
internautas e às corporações, mas ao mesmo tempo em que são encontrados
diversos benefícios na adoção desta tecnologia como forma de interação e
colaboração entre os usuários da Web, muitas vulnerabilidades foram descobertas
nesses ambientes, sendo exploradas por pessoas mal-intencionadas, que utilizam
técnicas de programações e muita criatividade para aproveitar das brechas de
segurança deixadas nas aplicações.
Esta tecnologia tem sido alvo de constantes explorações devido a
diversos fatores que facilitam e incentivam a prática de atividades maliciosas, como:
•
um grande número de colaboradores;
•
permissão de inserção de frases/mensagens em caixas de textos que
são carregados para o servidor Web;
•
diversas aplicações vulneráveis e sem gerencia de segurança;
•
servidores Web desatualizados;
•
inserção de informações pessoais em sites de relacionamentos;
•
usuários mal informados.
9
Crackers 1diariamente procuram por vulnerabilidades em navegadores,
websites, firewalls2 e em diversos recursos computacionais a fim de encontrar
alguma falha de segurança para realizar diversos tipos de atividades maliciosas.
Segundo Morais (2007), os serviços Web 2.0 correspondem a mais de
80% dos 20 sites mais visitados na Internet, sendo importante tomar certos cuidados
com a utilização desses recursos.
Podem ser encontrados diversos problemas na utilização dos recursos
propostos na Web 2.0. Os principais são listados a seguir.
4.1 ALTA EXPOSIÇÃO DE CONTEÚDOS PESSOAIS
Pode ocasionar ataques de engenharia social3 e outras diversas ações
maliciosas, tendo-se em vista que as informações são disponibilizadas geralmente
para todos os usuários que utilizam o serviço.
Nota-se que apesar de muitos serviços estarem trabalhando de forma
árdua para implantar mecanismos de segurança de bloqueio ou restrição das
informações postadas pelos usuários, muitas atividades criminosas ou maliciosas
ainda são postas em prática.
As informações publicadas são catalogadas a fim de conhecer mais sobre
seus utilizadores o que pode ocasionar em ações maliciosas.
4.2 DISSEMINAÇÃO DE SPAM
Tem-se verificado um aumento de mensagens indesejadas em massa
enviadas por perfis de spammers4 ou mesmo por perfis de utilizadores de confiança
que sofreram ataques de vírus e worms5 nos seus perfis.
1
Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou
sem ética (CARTILHA SEGURANÇA DA INFORMAÇÃO, 2008).
2
Firewall é uma combinação de hardware e software que isola um determinado host ou rede. Podendo assim ter a
possibilidade de autenticar e analisar todo tráfego (NAKAMURA, 2007).
3
Engenharia Social é um termo utilizado para designar alguém que abusa da ingenuidade ou da confiança do usuário, para
obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações (CARTILHA
SEGURANÇA DA INFORMAÇÃO, 2008).
4
Spammers: Autores e disseminadores de mensagens indesejadas em massas, também denominadas de spams (CARTILHA
SEGURANÇA DA INFORMAÇÃO, 2008).
5
Worms são programas capazes de se propagar automaticamente através de redes, enviando cópias de si mesmo de
computador para computador (CERT.BR, 2009).
10
4.3 PRÁTICAS DE PHISHING6
Através
de
falsas
mensagens
postadas
em
fóruns,
sites
de
relacionamentos, blogs, e outros serviços Web 2.0, os atacantes conseguem
disseminar códigos maliciosos para roubo de informações pessoais dos internautas.
A Figura 7 mostra um exemplo de mensagens maliciosas que são
constantemente disseminadas no Orkut, por perfis contaminados por vírus ou perfis
falsos. As falsas mensagens geralmente possuem um conteúdo que despertam a
curiosidade do usuário, levando-o a clicar em links maliciosos.
Figura 7. Prática de Phishing no Orkut (ORKUT, 2009)
4.4 CALÚNIAS POR ROUBO DE IDENTIDADE
É freqüente a criação de perfis falsos, em nome de personalidades
públicas, pessoas conhecidas numa determinada rede ou grupo para denegrir a sua
identidade.
4.5 ASSÉDIO MORAL E SEXUAL
Através destes serviços é possível que um usuário seja vítima de assédio,
tanto moral quanto sexual, pois o perseguidor tem várias informações sobre a vítima.
6
Phishing é um tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de
uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas
(falsificadas), projetadas para furtar dados pessoais e financeiros de usuários (CERT.BR,2009).
11
Fotos e vídeos são facilmente postados na Internet em vários serviços da Web 2.0,
tornando muito perigoso, por exemplo, a ação de pedófilos.
4.6 BULLYING
Um usuário pode ser magoado ou humilhado publicamente por uma
pessoa, comprometendo sua integridade perante diversas pessoas que utilizam os
serviços de compartilhamento de informações, sendo um comportamento mais
comum entre crianças e adolescentes.
As agressões eletrônicas na forma de mensagens de texto e a
disseminação online de fofocas nos sites de relacionamento crescem
cada vez mais.
Pesquisadores americanos acreditam que entre 9% e 34% dos
jovens são vítimas do chamado cyber-bullie, a fofoca virtual. E mais:
um em cada cinco jovens nos Estados Unidos já praticou bullying
usando mídia digital, segundo uma pesquisa do Journal of
Adolescent Health” (ARAUJO, 2009).
4.7 ESPIONAGEM INDUSTRIAL
Através destes meios, das suas vulnerabilidades e de informação
publicada pelos usuários é possível a espionagem industrial.
Todos os problemas descritos podem ser enquadrados como crimes
digitais, onde segundo Argolo (2005) é possível encontrar três modalidades:
•
crime de informática puro: corresponde a toda e qualquer conduta que
vise exclusivamente violar um sistema de computador;
•
crime de informática misto: todas as ações em que o uso do sistema
de computador é condição essencial para efetivação de um crime;
•
crime de informática comum: um sistema computacional é uma mera
ferramenta para cometer um delito já tipificado na lei penal.
Nota-se que esses tipos de crimes enquadram os diversos casos de
atividades maliciosas utilizando o ambiente Web 2.0, apesar do Brasil ainda não ter
uma lei especifica para crimes digitais, a área jurídica utiliza o Código Penal
brasileiro para aplicar aos crimes que envolvam sistemas computacionais.
12
5. ATAQUES A AMBIENTES WEB 2.0
Os serviços da Web 2.0 tem sido de extrema importância na rede mundial
de computadores, sendo utilizada cada vez mais pelos internautas. Toda essa
popularidade da Web 2.0 levou os crackers a cada vez mais procurarem
vulnerabilidades nesses serviços para praticarem atividades maliciosas através da
Internet.
Diversos ataques e crimes digitais são reportados diariamente aos órgãos
regulamentadores dos acessos a Internet. A maioria deles ligados a fraude, como
mostra a Figura 8, seja através de phishing scam, hijacking sessions ou outras
técnicas que possibilitem enganar o usuário, levando-o a sites maliciosos ou para se
apossar de suas informações.
Figura 8. Incidentes Reportados ao CERT.br (CERT.BR, 2009)
É comum encontrar fóruns de discussão online, sistemas para
compartilhamento de conhecimento, blogs e outros serviços da Web 2.0, alvos
desses crimes.
Os worms vêm crescendo também na vertente das ameaças à Web 2.0,
contaminando, por exemplo, mais de 1 milhão de usuários do MySpace.com no
período de 20 horas (MCMILLAN, 2007).
As vulnerabilidades nas aplicações e serviços são descobertas e
exploradas por diversas ações diferentes como a exemplo dos exploits, que são
criados para explorar vulnerabilidades existentes em sistemas operacionais e
aplicações.
É extremamente fácil encontrar exploits prontos na Internet para atacar
um serviço Web específico. Como a exemplo do site http://www.mil0worm.com (vide
13
Figura 9), o que leva apenas alguns minutos para descobrir diversos exploits prontos
para ataque a diversos serviços da Web 2.0.
Figura 9. Site http://www.mil0worm.com (MCMILLAN,
2007)
Script Kiddies7 ficam procurando constantemente exploits, técnicas de
invasão e exploração prontas, disseminadas na Internet, para tentar atingir seu
objetivo.
Outro
site
bastante
explorado
por
esses
pseudo-hackers
é
o
Packetstormsecurity.org, em que é possível encontrar diversos tipos de ataques,
ferramentas e técnicas aos mais variados serviços da Web 2.0.
5.1 TÉCNICAS UTILIZADAS EM ATAQUES CONTRA APLICAÇÕES WEB
Os ataques de hoje são baseados em vulnerabilidades típicas de
aplicações Web complexas (THOMASON e COSTA, 2007).
Gartner (2007) destaca que 75% dos ataques acontecem na camada de
aplicação, com isso as aplicações Web são o foco número um dos hackers.
As principais técnicas de ataques direcionados as aplicações Web
2.0 são as seguintes:
•
cross-site scripting;
•
SQL Injection;
•
code injection;
•
cross-site request forgeries (CSRF).
7
script kiddie são usuários sem grandes conhecimentos técnicos, que utilizam ferramentas ou scripts prontos de invasão
disseminados na Internet para invadir sistemas que possuem falhas de segurança já conhecidas (CERT.BR).
14
5.2 CROSS SITE SCRIPTING (XSS)
O Cross Site Scripting aproveita vulnerabilidades em aplicações Web,
para inserir código, geralmente javascript, de forma a realizar atividades maliciosas.
Segundo Chen (2007), Cross site scripting é uma exploração de
segurança no qual um atacante insere códigos maliciosos em um link que parece ser
uma fonte confiável. Quando alguém clica no link, o script incorporado é
apresentado como parte do cliente da Web do pedido e pode ser executado no
computador do usuário, permitindo que o atacante exerça diversas atividades
maliciosas.
De acordo com Grangeia (2008), o XSS é um ataque que existe há mais
de 10 anos mas que tem hoje em dia uma importância muito elevada no contexto da
Web 2.0.
Cross Site Scripting (ou XSS) é um dos ataques Web mais comuns
na camada de aplicação. O XSS geralmente embute scripts em uma
página Web na qual são executadas do lado do cliente (no
navegador do usuário) e não no do lado do servidor (ACCUNETIX,
2008).
Segundo GROSSMAN et al (2007), com o surgimento da linguagem de
programação Asynchronous JavaScript e XML (AJAX) os hackers descobriram um
mundo de possibilidades para exploração de vulnerabilidades em páginas Web.
A Figura 10 mostra como é realizado o ataque do tipo XSS.
15
Figura 10. Exemplo de ataque XSS (IN CONFERENCE, 2008)
Ataques XSS são geralmente utilizados para atingir os seguintes
resultados maliciosos:
•
roubar informações pessoais;
•
acessar informações sensíveis ou restritas;
•
obter acesso livre a conteúdos pagos na Web;
•
espionar sobre hábitos de navegação do internauta na Web;
•
alterar funcionalidades do navegador Web;
•
defacement - desfiguração de aplicações Web.
Diversos incidentes de segurança já aconteceram a partir deste tipo de ataque.
Criminosos brasileiros conseguiram descobrir um problema em uma
página do Bradesco que permitia que a mesma fosse “alterada” por
meio de links, possibilitando o uso do domínio do banco para todo
tipo de atividade maliciosa (ASSOLINI, 2008).
5.3 SQL INJECTION
SQL Injection é a técnica utilizada para explorar vulnerabilidades em
aplicações Web que utilizam dados fornecidos pelo usuário sem antes tratar
caracteres que podem oferecer algum perigo.
Segundo Accunetix (2008), o ataque por SQL Injection é um dos muitos
mecanismos utilizados na Web por hackers para roubar dados de organizações,
sendo uma das mais comuns técnicas de ataques na camada de aplicação utilizadas
hoje em dia.
16
A ideia é fazer com que a aplicação alvo rode um código SQL que não era
inicialmente previsto pelo programador. Apesar de ser um problema de simples
correção, existe um grande número de websites conectados a Internet que são
vulneráveis a esse tipo de ataque.
A Figura 11 apresenta um exemplo de ataque por sql injection, em
entradas de formulários de autenticação de um sistema computacional.
Figura 11. Exemplo de ataque por Sql Injection (ASSAD, 2008).
Existem diversas combinações que podem ser utilizadas através de
comandos SQL, como tentativa de burlar o sistema de autenticação, ou como forma
de obter dados sensíveis de um banco de dados.
Para verificar a validade do par login/senha, verifica-se se a consulta
retorna algum registro do banco de dados. Caso nenhum registro seja retornado,
temos que o usuário não esta cadastrado ou a senha é incorreta.
5.4 CODE INJECTION
Consiste em executar um código arbitrário em um servidor Web.
Um ataque implementado com sucesso permite ao atacante passagem
pelo processo de autenticação, execução de comandos no servidor,
visualização e gravação de dados arbitrários em arquivos, entre outras
coisas.
Qualquer linguagem de programação pode ser utilizada, desde
que a aplicação junto com a configuração do servidor Web estejam
vulneráveis.
17
5.5 CROSS SITE REQUEST FORGERY (CSRF)
Cross site request forgery é um ataque muito perigoso que consiste em
forçar o navegador previamente logado da vítima a enviar uma requisição para uma
aplicação Web vulnerável, que realiza a ação desejada em nome da vítima.
A Figura 12 ilustra esse tipo de ataque.
Figura 12. Exemplo de ataque de CSRF (HANDY, 2009)
6 FERRAMENTAS AUXILIARES
A facilidade e exposição de ferramentas para ataques na Internet,
manuais de técnicas de invasão e discussões livres sobre assuntos ligados ao
submundo hacker favorecem o crescimento no índice de incidentes que são
reportados aos órgãos fiscalizadores das ações na Internet.
Existem ferramentas como o Acunetix que são utilizadas para realizar
varreduras nos sites remotos à procura de vulnerabilidades a XSS, SQL Injection,
code execution e outras falhas de segurança (vide figura 13).
18
Figura 13. Possibilidades de testes de segurança do software (ACCUNETIX, 2008)
Segundo Accunetix (2008), através da ferramenta Accunetix Web
Vulnerability Scanner (WVS) é possível automatizar testes de segurança e realizar
auditorias em aplicativos web através da verificação de vulnerabilidades que podem
ser exploradas por atividades hacker.
Existem também diversos plugins8 para o navegador web Mozilla Firefox
que podem ser adicionados para auxiliar na detecção de diversas vulnerabilidades.
A
exemplos
dos
plugins
XSS
Inject
me
(https://addons.mozilla.org/pt-
BR/firefox/addon/7598) e do SQL Inject me (https://addons.mozilla.org/pt-BR/firefox/
addon/7597).
8
Plugin: é um programa que adiciona funções ou serviços a outros programas (CERT.BR, 2009).
19
Figura 14. Plugins adicionais do navegador Web Mozilla Firefox. XSS Inject me e SQL Inject me
(GOOGLE, 2009)
Este plugins auxiliam os desenvolvedores e administradores de serviços
Web a testarem suas aplicações contra aos diversos tipos de ataques existentes
hoje na Internet, prevenindo-se de diversas atividades maliciosas que são praticas
na rede mundial de computadores.
7. CONSIDERAÇÕES FINAIS
O presente artigo foi construído com a premissa de fornecer subsídios à
discussão de um tema tão amplo e multifacetado quanto a Web 2.0. A amplitude
desta nova maneira de interação aborda desde a construção de diferentes formas de
interações sociais, seguindo assim uma vertente sociológica, até o próprio processo
de construção de conhecimento, adotando assim uma vertente epistemológica.
Dentro desta gama diversificada de possibilidades este trabalho foi centrado
no impacto da Web 2.0 sobre o ambiente organizacional. Durante sua construção,
foi demonstrado como a mesma é capaz de transformar as empresas que a adotam.
Essa transformação ocorre a partir do momento em que, empregando conteúdos
diversos com sucesso, absorvem o conhecimento dos usuários que utilizam os seus
serviços ao mesmo tempo em que postam estes conhecimentos.
Entretanto, é demonstrado que uma das maiores vantagens desta nova
forma de interação também é seu maior ponto fraco. Esta característica, que
apresenta uma ambigüidade tão acentuada, é a flexibilidade do processo interativo.
Esta flexibilidade permite não só a criação de conhecimento e diferenciais
competitivos, como também aumenta exponencialmente a vulnerabilidade à
exploração das informações para fins não justificáveis.
20
Esta situação é bem contextualizada através dos problemas encontrados na
tentativa de formulação de diretrizes e políticas de utilização desta nova tecnologia.
A criação destas políticas culmina na proteção da rede de informações corporativa
(e também pessoais) como um todo, que necessita de ferramentas específicas para
proteger a informação, entretanto estas ferramentas devem ser eficientes o
suficiente para evitar abusos, mas flexíveis o suficiente para não impedir a
construção de novas formas de conhecimento.
Por fim, destaca-se que as discussões levantadas aqui têm por objetivo criar
questionamentos sobre a amplitude, consistência, segurança e aplicação de um
novo modelo de trocas de informações que por sua característica dinâmica deve ser
sempre questionado e avaliado para que abusos cometidos sejam evitados antes
que causem prejuízos.
21
8. REFERÊNCIAS BIBLIOGRÁFICAS
ACCUNETIX. Cross Site Scripting - XSS - The Underestimated Exploit 2008.
Disponível em: <http://www.acunetix.com/websitesecurity/xss.htm.> Acesso em:
28/02/2009.
ARAUJO, Cel. Cyber-bullying - Agressões entre jovens crescem em
ferramentas
como
e-mail
e
SMS.
2009.
Disponível
em:
<http://www.cmpa.tche.br/index2.php?option=com_content&do_pdf=1&id=1271>.
Acesso em: 28/02/2009
ARGOLO, Frederico Henrique Böhm. Análise Forense em sistemas GNU/Linux.
TCC-UFRJ, 2005.
ASSOLINI, Fabio. Falha no site do Bradesco permitiu ataque XSS 2008.
Disponível em: <http://www.linhadefensiva.org/2008/07/bradesco-pesquisa-instxss/>. Acesso em: 15/03/2009.
BLOGGER BRASIL. O Blogger é a ferramenta que você precisa para publicar
seus pensamentos na Web. Disponível em <http://blogger.globo.com> Acesso em:
20/02/2009.
BLOGGER Flávio Alexandre. Disponível em: <http://www.falexreis.blogspot.com/>.
Acesso em: 18/03/2009.
CARTILHA SEGURANÇA DA INFORMAÇÃO. Projeto Rede Segura PJF. 2008.
CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança
no Brasil. Disponível em: <http://www.cert.br/>. Acesso em: mai. 2009.
CHEN, Dong. Exploiting Web Applications. Bowling Green State University
2007.
COMPUTERWORD. Security: Learn How to Live in the World of Web 2.0.
Disponível em: <http://www.computerworld.com/action/googleSearch>. Acesso em:
05/09/2008.
___________. Seis soluções de segurança corporativas indispensáveis (e
grátis). Disponível em <http://www.computerworld.com.br>. Acesso em 27/02/2009.
FLICKR. What is Flicker? Disponível em: <www.flickr.com>. Acesso em:
27/02/2009.
GARTNER, Ivan Ricardo. Guarde Segredos Corporativos no Mundo da Web 2.0.
Disponível em: <http:\\www.computerworld.uol.com.br>. Acesso em: 10/09/2008.
GRANGEIA, Luis. Segurança na Web 2.0 Browser (in)security. SysValue S.A.
2008.
22
GROSSMAN ET AL. XSS Attacks Cross Site Scripting Exploits and Defense.
Syngress, 2007.
HANDY, Alex. Beware the CSRF SDTimes Software Development. 2009.
IDG NOW!. Gestores de TI no Brasil Usam Redes Sociais na Web 2.0. Disponível
em: <http://www.idgnow.com.br>. Acesso em: 20/02/2009.
INFO. Redes Sociais. Edição 268. Junho 2008.
_____. Google. Edição 271. Setembro 2008.
MARINHO, Marcelo Mendes e LAHR, Thiago Canozzo. (IN) Segurança em
Aplicações Web. IBM Development Conference. 2008.
MOODLE. O que é moodle? Disponível em: <http://www.moodle.org.br>. Acesso
em: 25/02/2009.
________. Segurança da Informação. 2009. Disponível em:
<http://moodle.pgpe.granbery.edu.br>. Acesso em 25/02/2009.
MORAIS, Luís. Cuidados com Alojamento de Conteúdos em Entidades
Terceiras. CERT.BR, 2007.
NAKAMURA, E.T.; de GEUS, P.L. Segurança de Redes em Ambientes
Cooperativos. São Paulo: Novatec, 2007.
ORKUT, Carla Teixeira. 2009 Disponível em: <www.orkut.com>. Acesso em
22/05/2009.
O'REILLY, Tim. What Is Web 2.0. Design Patterns and Business Models for the
Next Generation of Software. 2004. Disponível em: <http://www.oreillynet.com/pub/
a/oreilly/tim/news/2005/09/30/what-isweb-20.html>. Acesso em: 07/08/2008.
__________. Web 2.0: Compact Definition? 2005 Disponível em:
<http://radar.oreilly.com/archives/2005/10/web_20_compact_definition.html>. Acesso
em: 18/08/2008.
THOMASON, David e COSTA, Durval. Segurança das Aplicações web. Disponível
em: <www.risco.org.br>. Acesso em: 15/12/2008.
WIKIPÉDIA. O que é Wikipédia? Disponível em: < www.wikipedia.org>. Acesso em:
06/02/2009.
YOUTUBE. Video mais populares. 2009. Disponível em: <http://www.youtube.com/
>. Acesso em: 16/03/2009.
23