Você está na página 1de 5

Artigos

Responsabilidade
Compartilhada
Eduardo Vianna de Camargo Neves

Conviso IT Security | Operations Team

BRASILIA | CURITIBA | SÃO PAULO

Escritório Central
Rua Marechal Hermes 678 CJ 32
CEP 80530-230, Curitiba, PR
t (41) 3095.5736
t (41) 3095.3986
www.conviso.com.br
Conviso IT Security

Responsabilidade envolvidas no processo de alguma forma [5]. A


elaboração de leis e regulamentações que
Compartilhada definam regras para este cenário como forma de
garantir a aplicação de critérios legais para os
por Eduardo Vianna de Camargo Neves negócios on line, vem sendo conduzida em
Conviso IT Security | Operations Team
diversas iniciativas.

22 de agosto de 2010 Em especial sobre falhas em aplicações podem


ser interpretadas no âmbito dos processos
contra empresas envolvidas, é interessante

Introdução destacar duas notícias que mostram o que

Quando uma empresa tem uma ou mais podemos esperar de um futuro próximo:

vulnerabilidades do seu Ambiente Informatizado O Comitê Gestor da ICP-Brasil busca a


exploradas por um atacante, as conseqüências
aplicação de certificados digitais nos códigos
podem ir da exposição negativa da imagem
dos aplicativos de interatividade
perante a sociedade até prejuízos financeiros
desenvolvidos por diversas empresas para a
decorrentes da parada de um processo, como
TV Digital como forma de garantir a autoria e
no caso de um comércio eletrônico.
a responsabilidade civil [6].

Mas quando este incidente também afeta os


Uma empresas de rastreamento e bloqueio
clientes das empresas, o que pode acontecer e de veículos por satélite foi condenada a
como este risco pode ser reduzido a um nível
restituir um de seus clientes, uma vez que o
aceitável? Ocorrências desta natureza tem
sistema utilizado para suportar o processo
aparecido com freqüência e retirando os casos falhou e permitiu o furto de um caminhão. [7]
onde as pessoas são vitimadas por quadrilhas
especializadas em phishing [1], cenários Uma proposta de mudança
agressivos aparecem no Brasil:
Uma vez que as falhas em aplicações
representam hoje entre 75% a 92% dos ataques
Em agosto de 2010 mais de cinco milhões
realizados através da Internet [8], e as empresas
de web sites hospedados em um provedor
estavam sendo utilizados para propagação buscam posicionar seus recursos cada vez mais
através de interfaces web, o que fazer para ter
de malware [2], e no Brasil os web sites das
aplicações mais seguras e reduzir o risco de
empresas Vivo e Oi [3] sofreram ataques
impactos diretos e colaterais da exploração de
similares.
vulnerabilidades?
Dados pessoais de 12 milhões de pessoas
Onde as fábricas de software falham
que participaram do Exame Nacional do
As fábricas de software deveriam implementar
Ensino Médio (ENEM) vazaram de uma base
controles que garantissem a remoção de
de dados restrita, expondo-as a serem
vulnerabilidades óbvias de seus produtos, e não
vítimas de crimes virtuais, como furto de
é isso que tem acontecido. Desde a sua primeira
identidade. [4]
edição em 2004, o OWASP Top 10 [9] apresenta

O que está acontecendo falhas persistentes em aplicações web e

Como resultado, algumas pessoas tem utilizado disponibiliza projetos para que estas sejam
corrigidas ainda no ciclo de desenvolvimento,
instrumentos presentes no Código Civil e no
mas elas ainda ocorrem freqüentemente.
Código do Consumidor para buscar reparações
em diferentes esferas. Em alguns casos, a
As causas estão todas na inexistência de um
responsabilidade é compartilhada não só pela ciclo de desenvolvimento seguro, onde não
empresa que hospedava o componente onde o existem controles que verificam o nível de
problema foi gerado, mas ainda outras

Artigos | Responsabilidade Compartilhada! 1


Conviso IT Security

segurança dos releases desenvolvidos, como existe pelo menos uma ação que pode ser
ainda é comum a ausência de processos que tomada para mudar este cenário: assumir a
garantam a capacitação contínua dos responsabilidade compartilhada.
desenvolvedores como forma de aumentar
A primeira ação a ser considerada, é estabelecer
gradativamente a qualidade da segurança
contratos que deixem claro quais são os papéis
embutida no produto.
de cada um. O OWASP Legal Project [10]

Mas antes de se apontar o dedo para as fábricas apresenta o “OWASP Secure Software
de software, existe um ponto que deve ser Development Contract Annex” como um modelo
considerado com o mesmo peso para uma para ser utilizado nesta ação.

avaliação: o que as empresas que compram


O objetivo do documento é servir de base para
software tem feito para mudar este cenário?
garantir o atendimento de um nível de proteção
Onde as empresas falham adequado para o software através da definição
Segurança e performance são competências de papéis no processo de desenvolvimento,

antagônicas que devem ser equilibradas para estabelecimento das áreas onde os controles de
garantir o atendimento às necessidades do segurança devem ser considerados e ainda
cliente dentro de um nível de segurança formalizar o uso de testes e recursos técnicos

adequado. Para garantir o resultado aceitável específicos.


desta equação, é necessário investir em um
Mais do que uma ação isolada e ineficaz para
esforço similar ao empregado para outras
injetar a responsabilidade pela segurança das
atividades de suporte ao produto final comuns
aplicações para um dos dois lados, é
no desenvolvimento de software, tais como
fundamental entender que a mudança será
design de interface e conectores com produtos
atingida se algumas premissas forem aceitas e
d e m e rc a d o . O p ro b l e m a é q u e e s t a
consideradas como base para o processo.
necessidade não é atendida pelas empresas.
Níveis de proteção racionais
O Ponemon Institute publicou a pesquisa “State
O contrato deve prever que o nível de proteção
of Web Application Security” citada
do software irá variar de acordo com o seu nível
anteriormente neste artigo, que foi realizada com
d e c r i t i c i d a d e . A p l i c a ç õ e s d i re t a m e n t e
638 empresas de grande porte nos Estados
relacionadas ao negócio da empresa ou que
Unidos e mostrou uma realidade que atesta a
estejam sujeitas a uma regulamentação,
afirmação anterior:
potencialmente serão mais críticas que as

Q u a s e 7 0 % d o s e n t re v i s t a d o s n ã o demais. Aplicar o mesmo nível de proteção em

consideram que o orçamento para todos os produtos não é uma ação racional e
segurança das aplicações web é suficiente. muito provavelmente vai fazer a fábrica de
software alocar um esforço que poderia ser
Das vulnerabilidades consideradas urgentes evitado, e a empresa irá pagar esta conta.
nas empresas, 34% não são consertadas e
55% dos entrevistados acreditam que os Com isso, o programa será em pouco tempo

desenvolvedores são ocupados demais com criticado com razão, considerado um custo

outras atividades para adequar as falhas de desnecessário e eliminado. É fundamental ter


segurança. critérios adequados de onde, como e com qual
nível de rigor os controles deverão ser aplicados.
A Responsabilidade Compartilhada
Compartilhamento de atividades
Seria inocente esperar uma mudança imediata
P a r a q u e a s re s p o n s a b i l i d a d e s s e j a m
dos dois lados mediante esta situação, uma vez
compartilhadas, é fundamental que o mesmo
que são necessários recursos extras aos já
ocorra com as atividades relacionadas. A fábrica
previstos e o atendimento de um nível de
maturidade que só o tempo permite chegar. Porém de software deverá ter um processo de

Artigos | Responsabilidade Compartilhada! 2


Conviso IT Security

desenvolvimento seguro como parte do garantir um nível de segurança adequado é algo


processo, porém a empresa que adquire a desejado por todos os clientes que usam a
aplicação tem como obrigações mínimas garantir Internet para suas transações.
que o processo de desenvolvimento seguro não
No começo da Internet os provedores eram
será atropelado por motivos de negócio que não
pagos e quem conseguia um preço menor com
considerem todo o trabalho de planejamento
nível de qualidade similar (ou mesmo inferior ...) a
estabelecido. Se for realmente necessário, a área
seus concorrentes abocanhava boa parte do
solicitante deve formalmente - ou mesmo
mercado. Um dia uma grande empresa decidiu
legalmente? - assumir a responsabilidade por
prestar o serviço de graça para a sociedade, e o
isso.
modelo ruiu.
Além disso, os componentes de arquitetura
Com a evolução dos processos legais e a
utilizados devem passar pelos mesmos critérios
potencial perda de clientes para concorrentes
de segurança, uma vez que falhas e
que apresentam um nível de segurança superior
vulnerabilidades nestes componentes podem
- ainda que esta impressão exista por nunca
comprometer o nível de segurança do software.
terem sofrido uma perda - quem ficar para trás
Evolução contínua vai acabar pagando uma conta bem mais cara.
O processo deve ser pensado como algo que irá
aumentar o nível de rigor de forma crescente e Referências
contínua. Os termos apresentados no exemplo 1. Casos de phishing mais que dobraram no
do documento publicado pelo OWASP devem Brasil em um ano: Matéria publicada pelo
ser considerados como uma base para ser Portal Exame.
adaptada pelos advogados de cada empresa, o
2. Malware pode ter contaminado 5 milhões de
que irá variar muito não só pelas características
sites em serviço de hospedagem: Matéria
organizacionais, mas ainda de acordo com o
publicada pelo IDG Now!.
mercado de atuação e regras setoriais
específicas (ex. PCI DSS). 3. Site da Vivo é invadido por hackers: Matéria
publicada no portal Bem Paraná e Invasão
Uma proposta racional é estabelecer métricas de
no site da Oi dissemina vírus para cerca de
acompanhamento e reuniões de status entre às
140 mil usuários: Matéria publicada pelo
partes, onde a meta de atingir um nível de
IDG Now!.
excelência no desenvolvimento seguro poderá
ser atingida aos poucos. Todas as metodologias 4. PF pode investigar vazamento de dados de
de desenvolvimento seguro apresentam inscritos no Enem: Matéria publicada pelo
propostas para este tipo de controle, é buscar o portal Terra.
que for mais adequado para a realidade de cada
empresa e adaptar. 5. Cobrança indevida de compra não finalizada
pela internet gera indenização e Mercado
Conclusão Livre e Caixa Econômica devem indenizar
Este artigo é uma provocação com uma cliente por golpe de estelionatários, notícias
sugestão e deve ser entendido desta forma. publicadas no web site DNT.
Certamente, a primeira pergunta que surge na
6. TV digital usará certificado digital como
leitura é: quem paga esta conta?
forma de garantir a autoria e a
A primeira resposta acaba sendo a comum a responsabilidade civil, matéria publicada no
produtos com melhorias: o cliente final. Porém, web site DNT.
vale pensar em todo este processo como um
modelo de negócios, algo que irá potencializar
os produtos em um mercado onde estabelecer e

Artigos | Responsabilidade Compartilhada! 3


Conviso IT Security

7. Empresa será indenizada por falha no


sistema de rastreamento, matéria publicada
no web site DNT.

8. Conforme dados apresentados na pesquisa


State of Web Application Security do
Ponemon Institute e no documento A
CISO’s Guide to Application Security
preparado pelo CIO Custom Solutions
Group para a Fortity.

9. O OWASP Top 10 apresenta a lista com as


dez vulnerabilidades mais críticas em
aplicações web.

10. O OWASP Legal Project é uma iniciativa do


OWASP para estabelecer requerimentos
legais entre as partes envolvidas no
processo de desenvolvimento de software
que aumentem o nível de segurança dos
produtos envolvidos.

Sobre o Autor
Eduardo Vianna de Camargo Neves trabalha
com Segurança da Informação desde 1997,
tendo atuado como auditor, consultor e Security
Officer. É sócio-fundador e Gerente de
Operações da Conviso IT Security, responsável
pela administração e estratégia da empresa.
Serve ainda como membro do Capítulo Brasil do
O WA S P, d o O WA S P G l o b a l E d u c a t i o n
Committee na América Latina e voluntário no
(ISC)2.

Artigos | Responsabilidade Compartilhada! 4