Artigos

Responsabilidade
Compartilhada
Eduardo Vianna de Camargo Neves

Conviso IT Security | Operations Team

BRASILIA | CURITIBA | SÃO PAULO

Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t (41) 3095.5736
t (41) 3095.3986
www.conviso.com.br

Responsabilidade
Compartilhada
por Eduardo Vianna de Camargo Neves
Conviso IT Security | Operations Team
22 de agosto de 2010
Introdução
Quando uma empresa tem uma ou mais
vulnerabilidades do seu Ambiente Informatizado
exploradas por um atacante, as conseqüências
podem ir da exposição negativa da imagem
perante a sociedade até prejuízos financeiros
decorrentes da parada de um processo, como
no caso de um comércio eletrônico.
Mas quando este incidente também afeta os
clientes das empresas, o que pode acontecer e
como este risco pode ser reduzido a um nível
aceitável? Ocorrências desta natureza tem
aparecido com freqüência e retirando os casos
onde as pessoas são vitimadas por quadrilhas
especializadas em phishing [1], cenários
agressivos aparecem no Brasil:
Em agosto de 2010 mais de cinco milhões
de web sites hospedados em um provedor
estavam sendo utilizados para propagação
de malware [2], e no Brasil os web sites das
empresas Vivo e Oi [3] sofreram ataques
similares.
Dados pessoais de 12 milhões de pessoas
que participaram do Exame Nacional do
Ensino Médio (ENEM) vazaram de uma base
de dados restrita, expondo-as a serem
vítimas de crimes virtuais, como furto de
identidade. [4]
O que está acontecendo
Como resultado, algumas pessoas tem utilizado
instrumentos presentes no Código Civil e no
Código do Consumidor para buscar reparações
em diferentes esferas. Em alguns casos, a
responsabilidade é compartilhada não só pela
empresa que hospedava o componente onde o
problema foi gerado, mas ainda outras
Artigos | Responsabilidade Compartilhada!
Conviso IT Security
envolvidas no processo de alguma forma [5]. A
elaboração de leis e regulamentações que
definam regras para este cenário como forma de
garantir a aplicação de critérios legais para os
negócios on line, vem sendo conduzida em
diversas iniciativas.
Em especial sobre falhas em aplicações podem
ser interpretadas no âmbito dos processos
contra empresas envolvidas, é interessante
destacar duas notícias que mostram o que
podemos esperar de um futuro próximo:
O Comitê Gestor da ICP-Brasil busca a
aplicação de certificados digitais nos códigos
dos aplicativos de interatividade
desenvolvidos por diversas empresas para a
TV Digital como forma de garantir a autoria e
a responsabilidade civil [6].
Uma empresas de rastreamento e bloqueio
de veículos por satélite foi condenada a
restituir um de seus clientes, uma vez que o
sistema utilizado para suportar o processo
falhou e permitiu o furto de um caminhão. [7]
Uma proposta de mudança
Uma vez que as falhas em aplicações
representam hoje entre 75% a 92% dos ataques
realizados através da Internet [8], e as empresas
buscam posicionar seus recursos cada vez mais
através de interfaces web, o que fazer para ter
aplicações mais seguras e reduzir o risco de
impactos diretos e colaterais da exploração de
vulnerabilidades?
Onde as fábricas de software falham
As fábricas de software deveriam implementar
controles que garantissem a remoção de
vulnerabilidades óbvias de seus produtos, e não
é isso que tem acontecido. Desde a sua primeira
edição em 2004, o OWASP Top 10 [9] apresenta
falhas persistentes em aplicações web e
disponibiliza projetos para que estas sejam
corrigidas ainda no ciclo de desenvolvimento,
mas elas ainda ocorrem freqüentemente.
As causas estão todas na inexistência de um
ciclo de desenvolvimento seguro, onde não
existem controles que verificam o nível de
1

segurança dos releases desenvolvidos, como
ainda é comum a ausência de processos que
garantam a capacitação contínua dos
desenvolvedores como forma de aumentar
gradativamente a qualidade da segurança
embutida no produto.
Mas antes de se apontar o dedo para as fábricas
de software, existe um ponto que deve ser
considerado com o mesmo peso para uma
avaliação: o que as empresas que compram
software tem feito para mudar este cenário?
Onde as empresas falham
Segurança e performance são competências
antagônicas que devem ser equilibradas para
garantir o atendimento às necessidades do
cliente dentro de um nível de segurança
adequado. Para garantir o resultado aceitável
desta equação, é necessário investir em um
esforço similar ao empregado para outras
atividades de suporte ao produto final comuns
no desenvolvimento de software, tais como
design de interface e conectores com produtos
d e m e rc a d o . O p ro b l e m a é q u e e s t a
necessidade não é atendida pelas empresas.
O Ponemon Institute publicou a pesquisa “State
of Web Application Security” citada
anteriormente neste artigo, que foi realizada com
638 empresas de grande porte nos Estados
Unidos e mostrou uma realidade que atesta a
afirmação anterior:
Q u a s e 7 0 % d o s e n t re v i s t a d o s n ã o
consideram que o orçamento para
segurança das aplicações web é suficiente.
Das vulnerabilidades consideradas urgentes
nas empresas, 34% não são consertadas e
55% dos entrevistados acreditam que os
desenvolvedores são ocupados demais com
outras atividades para adequar as falhas de
segurança.
A Responsabilidade Compartilhada
Seria inocente esperar uma mudança imediata
dos dois lados mediante esta situação, uma vez
que são necessários recursos extras aos já
previstos e o atendimento de um nível de
maturidade que só o tempo permite chegar. Porém
Artigos | Responsabilidade Compartilhada!
Conviso IT Security
existe pelo menos uma ação que pode ser
tomada para mudar este cenário: assumir a
responsabilidade compartilhada.
A primeira ação a ser considerada, é estabelecer
contratos que deixem claro quais são os papéis
de cada um. O OWASP Legal Project [10]
apresenta o “OWASP Secure Software
Development Contract Annex” como um modelo
para ser utilizado nesta ação.
O objetivo do documento é servir de base para
garantir o atendimento de um nível de proteção
adequado para o software através da definição
de papéis no processo de desenvolvimento,
estabelecimento das áreas onde os controles de
segurança devem ser considerados e ainda
formalizar o uso de testes e recursos técnicos
específicos.
Mais do que uma ação isolada e ineficaz para
injetar a responsabilidade pela segurança das
aplicações para um dos dois lados, é
fundamental entender que a mudança será
atingida se algumas premissas forem aceitas e
consideradas como base para o processo.
Níveis de proteção racionais
O contrato deve prever que o nível de proteção
do software irá variar de acordo com o seu nível
d e c r i t i c i d a d e . A p l i c a ç õ e s d i re t a m e n t e
relacionadas ao negócio da empresa ou que
estejam sujeitas a uma regulamentação,
potencialmente serão mais críticas que as
demais. Aplicar o mesmo nível de proteção em
todos os produtos não é uma ação racional e
muito provavelmente vai fazer a fábrica de
software alocar um esforço que poderia ser
evitado, e a empresa irá pagar esta conta.
Com isso, o programa será em pouco tempo
criticado com razão, considerado um custo
desnecessário e eliminado. É fundamental ter
critérios adequados de onde, como e com qual
nível de rigor os controles deverão ser aplicados.
Compartilhamento de atividades
P a r a q u e a s re s p o n s a b i l i d a d e s s e j a m
compartilhadas, é fundamental que o mesmo
ocorra com as atividades relacionadas. A fábrica
de software deverá ter um processo de
2
 Conviso IT Security

desenvolvimento seguro como parte do garantir um nível de segurança adequado é algo

processo, porém a empresa que adquire a desejado por todos os clientes que usam a
aplicação tem como obrigações mínimas garantir Internet para suas transações.
que o processo de desenvolvimento seguro não
No começo da Internet os provedores eram
será atropelado por motivos de negócio que não
pagos e quem conseguia um preço menor com
considerem todo o trabalho de planejamento
nível de qualidade similar (ou mesmo inferior ...) a
estabelecido. Se for realmente necessário, a área
seus concorrentes abocanhava boa parte do
solicitante deve formalmente - ou mesmo
mercado. Um dia uma grande empresa decidiu
legalmente? - assumir a responsabilidade por
prestar o serviço de graça para a sociedade, e o
isso.
modelo ruiu.
Além disso, os componentes de arquitetura
Com a evolução dos processos legais e a
utilizados devem passar pelos mesmos critérios
potencial perda de clientes para concorrentes
de segurança, uma vez que falhas e
que apresentam um nível de segurança superior
vulnerabilidades nestes componentes podem
- ainda que esta impressão exista por nunca
comprometer o nível de segurança do software.
terem sofrido uma perda - quem ficar para trás
Evolução contínua vai acabar pagando uma conta bem mais cara.
O processo deve ser pensado como algo que irá
aumentar o nível de rigor de forma crescente e Referências
contínua. Os termos apresentados no exemplo 1. Casos de phishing mais que dobraram no
do documento publicado pelo OWASP devem Brasil em um ano: Matéria publicada pelo
ser considerados como uma base para ser Portal Exame.
adaptada pelos advogados de cada empresa, o
2. Malware pode ter contaminado 5 milhões de
que irá variar muito não só pelas características
sites em serviço de hospedagem: Matéria
organizacionais, mas ainda de acordo com o
publicada pelo IDG Now!.
mercado de atuação e regras setoriais
específicas (ex. PCI DSS). 3. Site da Vivo é invadido por hackers: Matéria
publicada no portal Bem Paraná e Invasão
Uma proposta racional é estabelecer métricas de
no site da Oi dissemina vírus para cerca de
acompanhamento e reuniões de status entre às
140 mil usuários: Matéria publicada pelo
partes, onde a meta de atingir um nível de
IDG Now!.
excelência no desenvolvimento seguro poderá
ser atingida aos poucos. Todas as metodologias 4. PF pode investigar vazamento de dados de
de desenvolvimento seguro apresentam inscritos no Enem: Matéria publicada pelo
propostas para este tipo de controle, é buscar o portal Terra.
que for mais adequado para a realidade de cada
empresa e adaptar. 5. Cobrança indevida de compra não finalizada
pela internet gera indenização e Mercado
Conclusão Livre e Caixa Econômica devem indenizar
Este artigo é uma provocação com uma cliente por golpe de estelionatários, notícias
sugestão e deve ser entendido desta forma. publicadas no web site DNT.
Certamente, a primeira pergunta que surge na
6. TV digital usará certificado digital como
leitura é: quem paga esta conta?
forma de garantir a autoria e a
A primeira resposta acaba sendo a comum a responsabilidade civil, matéria publicada no
produtos com melhorias: o cliente final. Porém, web site DNT.
vale pensar em todo este processo como um
modelo de negócios, algo que irá potencializar
os produtos em um mercado onde estabelecer e

Artigos | Responsabilidade Compartilhada! 3

 Conviso IT Security

7. Empresa será indenizada por falha no

sistema de rastreamento, matéria publicada
no web site DNT.

8. Conforme dados apresentados na pesquisa

State of Web Application Security do
Ponemon Institute e no documento A
CISO’s Guide to Application Security
preparado pelo CIO Custom Solutions
Group para a Fortity.

9. O OWASP Top 10 apresenta a lista com as

dez vulnerabilidades mais críticas em
aplicações web.

10. O OWASP Legal Project é uma iniciativa do

OWASP para estabelecer requerimentos
legais entre as partes envolvidas no
processo de desenvolvimento de software
que aumentem o nível de segurança dos
produtos envolvidos.

Sobre o Autor
Eduardo Vianna de Camargo Neves trabalha
com Segurança da Informação desde 1997,
tendo atuado como auditor, consultor e Security
Officer. É sócio-fundador e Gerente de
Operações da Conviso IT Security, responsável
pela administração e estratégia da empresa.
Serve ainda como membro do Capítulo Brasil do
O WA S P, d o O WA S P G l o b a l E d u c a t i o n
Committee na América Latina e voluntário no
(ISC)2.

Artigos | Responsabilidade Compartilhada! 4