mpoturbo mpoturbo mpoturbo AUTOMPO happympo happympo happympo autompo happympo happympo slot dana happympo mpoturbo pso999 heroslot77 heroslot77 kgw88 kgw88 kgw88 slot gacor 777 LIVE RTP HEROSLOT77 KGW88 KGW88 AUTOMPO AUTOMPO AUTOMPO AUTOMPO Slot Maxwin slot demo Slot Online Slot Thailand Link Slot APK SLOT Judi Bola SBOBET88 link gacor slot gacor hari ini slot gacor 777 slot online slot777 slot gacor hari ini judi bola https://azure.aabu.edu.jo/ scatter hitam sv388 Slot777 slot demo scatter hitam slot thailand slot gacor slot gacor slot 777 slot dana slot88 slot gacor slot online slot gacor hari ini slot88 slot777 slot dana server thailand slot thailand zona berita RTP PG SOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI TERBANG TINGGI RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP PGSOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP PG SOFT RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP Live RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP LIVE RTP Live Game Slot Online Game Slot Online Game Slot Online Game Slot Online Game Slot Online RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT RTP PGSOFT
Sua rede é protegida, e o código fonte do seu software? Cuidado! O inimigo mora ao lado. Seu software corre risco! - HelpDigital
  • Help Digital
  • »
  • Artigos
  • »
  • Sua rede é protegida, e o código fonte do seu software? Cuidado! O inimigo mora ao lado. Seu software corre risco!

Sua rede é protegida, e o código fonte do seu software? Cuidado! O inimigo mora ao lado. Seu software corre risco!

Antes de falarmos sobre o risco para o software menciono abaixo a definição de risco segundo a ISO 31000 – Gestão de Risco – Princípios e Diretrizes

Risco é o efeito da incerteza nos objetivos.

NOTA 1 – Um efeito é um desvio em relação ao esperado – positivo e/ou negativo.

NOTA 2 – Os objetivos podem ter diferentes aspectos (tais como metas financeiras, de saúde e segurança e ambientais) e podem aplicar–se em diferentes níveis (tais como estratégico, em toda a organização, de projeto, de produto e de processo).

NOTA 3 – O risco é muitas vezes caracterizado pela referência aos eventos potenciais e às consequências, ou uma combinação destes.

NOTA 4 – O risco é muitas vezes expresso em termos de uma combinação de consequências de um evento (incluindo mudanças nas circunstâncias) e a probabilidade de ocorrência associada.

NOTA 5 – A incerteza é o estado, mesmo que parcial, da deficiência das informações relacionadas a um evento, sua compreensão, conhecimento, sua consequência ou sua probabilidade.

Risco para um software são possíveis falhas existentes nos códigos que possam ser exploradas por hackers ou pessoas mal intencionadas como o objetivo de causar danos e possíveis fraudes para a organização possibilitando perdas financeiras e de imagem.

Como estratégia códigos fontes devem ser auditados com o objetivo de remover funcionalidades obsoletas e desnecessárias. Essas auditorias devem ser realizadas de maneira sistemática de modo a mitigar o risco.

É importante ressaltar que as proteções dessas informações existentes devem se basear em padrões normativos e de Segurança (ISO/IEC-15408 – Information technology – Security techniques – Evaluation criteria for IT security , ISO/IEC-27002 – Information Technology – Security Techniques – Code of practice for Information security controls, PCI Payment Card Industry – Data Security Standard) de maneira a garantir a Segurança implementando conjuntos de funcionalidades seguras, executando testes funcionais, verificando e protegendo códigos fontes de forma controlada, restringir somente a pessoas autorizadas com a finalidade de prevenir o uso não autorizado e assim mantendo a integridade, disponibilidade e confidencialidade, estabelecendo processos para identificar as vulnerabilidades, classificando e tratando os riscos, instalando patches de segurança e demais controles.

A Open Web Application Security Project (OWASP), iniciada em 9 de setembro de 2001, é uma entidade sem fins lucrativos e de reconhecimento internacional. Esta contribui para a melhoria da segurança de softwares aplicativos reunindo informações importantes que permitem avaliar riscos de segurança e combater formas de ataques através da internet.

Como forma de contruir, a OWA elencou 10 riscos (OWASP TOP 10 – 2017) considerados como mais graves para uma ampla gama de organizações, no entanto citaremos apenas 2 apresentando casos ocorridos e sugerindo contramedidas como forma de mitigar esses riscos. São eles:

A4- Quebra do controle de acesso

Em abril de 2013 o hacker Nir Goldshlager certamente entrou para a história da Facebook, de modo positivo. Em uma postagem em seu blog pessoal, o mesmo confirmou ter encontrado e explorado uma falha no sistema de autorizações da rede social, o que permitiu a ele ter acesso a todas as opções de qualquer perfil cadastrado.

É notório falhas e brechas de segurança existentes no sistema de autorização da rede social citada, falha essa que possibilitava o acesso as informações de perfis existentes.

Como contramedida testes de funcionalidades de segurança devem ser executados durante os desenvolvimentos dos sistemas. Outra proteção sugerida seria a criptografia dos códigos fontes. Se essa opção for utilizada o acesso lógico deve ser gerenciado separadamente sendo independente de mecanismos de controle de acesso e autenticação do sistema operacional nativo.

A6-Exposição de dados sensíveis

Em maio de 2014 uma brecha de segurança atingindo o eBay. Aparentemente, o ataque comprometeu uma base de dados com senhas criptografadas e informações financeiras.

Esse ataque só foi possível porque os criminosos conseguiram credenciais de acessos com alguns funcionários da própria empresa. Uma situação parecida também aconteceu com o Spotify.

Não se pode afirmar que houve o envolvimento dos colaboradores da empresa, entretanto é perceptível que a base de dados foi obtida através desses. Uma das hipóteses seria o ataque utilizando Engenharia Social ou até mesmo envolvimento interno como já mencionado. Independente, entende-se que houve Incidente de Segurança.

Nesse caso a contramedida sugerida seriam proteções adequadas das credencias dos colaboradores incluindo forte controle de acesso, limitando as informações com base somente na “necessidade de divulgação”, realizando conscientização interna, treinamentos bem como o controle e monitoramento de logs de acesso sendo posteriormente auditáveis.

Concluo que em ambos os casos são perceptíveis falhas no controle de acesso expondo dados sensíveis. Funções dos sistemas de aplicações deveriam ser protegidas e restritas de forma rigorosa, sendo assim todo cuidado é pouco!

Pesquisa

Newsletter

Receba dicas de segurança e as últimas novidades em tecnologia diretamente na sua caixa de entrada: inscreva-se na newsletter do Help Digital hoje mesmo!

Outras postagens

Explore nosso blog repleto de conhecimento e descubra artigos envolventes sobre segurança cibernética, tendências tecnológicas e muito mais para aprimorar sua jornada digital!
helpdigitalti

O Futuro Sombrio da CLT

 Por Jefferson Nico O sistema de previdência social no Brasil, representado principalmente pelo INSS, está enfrentando desafios imensos em função de mudanças globais e locais que impactam diretamente o mercado

Leia mais »