O SANS, o Mitre e alguns fabricantes de software de segurança nos EUA e Europa se juntaram e criaram uma relação com as 25 maiores vulnerabilidades de aplicações, assim como o OWASP compila a relação Top Ten de vulnerabilidades (também de aplicações).

Para ler a relação das 25 maiores vulnerabilidades (em inglês), clique aqui.

Comentário meu:

Os desenvolvedores não são os únicos culpados pelas vulnerabilidades existentes nos ativos de informação, mas com certeza tem grande responsabilidade, já que cada vez mais as empresas precisam desenvolver ou customizar suas aplicações web internas e externas, por exemplo. Para comprovar isso basta verificar o número de vagas abertas para programadores nas principais linguagens e bancos de dados usados hoje em dia. Além disso, como há uma tendência crescente de exibição de conteúdo dinâmico em portais e intranets, cada vez mais utiliza-se acesso a bancos de dados e a outros sites para relacionar as informações.

Um dos problemas dessa história é que alguns recrutadores vêem os desenvolvedores como commodities, como sacas de café, por exemplo. Se precisam que uma aplicação seja desenvolvida, vão nos sites de vagas de TI e contratam um, sem levar em consideração o conhecimento em segurança da informação e segurança no desenvolvimento de aplicações (principalmente nas linguagens e bancos de dados que serão usados). Quero dizer que, contratar um serviço personalizado como esse, levando em consideração as regras de negócio (ou necessidades do cliente), as linguagens de programação que serão utilizadas, as particularidades da infraestrutura existente e ainda as vulnerabilidades intrínsecas da comunicação na Internet, não é a mesma coisa que comprar bananas no supermercado. Por outro lado, as empresas investem pouco na capacitação de seus colaboradores, deixando a cargo do indivíduo se manter atualizado no que tange tecnologia e ainda, antenado em relação à segurança da informação, que para a maioria das pessoas é um mundo completamente novo.

O processo de desenvolvimento também está mal formatado em muitos lugares. Deixam para pensar em segurança em uma determinada etapa do projeto, quando muitas vezes já não é mais possível corrigir as vulnerabilidades encontradas, pois seria necessário desconstruir um trabalho de meses. Quando chega nesse nível de complicação, o software acaba indo para a “prateleira” com alguns bugs (leia-se vulnerabilidades) que serão corrigidas no projeto que criará a versão seguinte. Para reduzir esse risco, segurança da informação tem que acompanhar o desenvolvimento em todas as suas etapas.

Guias como esse e o do OWASP servem para preencher essa lacuna de conhecimento, divulgar as vulnerabilidades e permitir a criação de checklists para verificação de código-fonte. Vale a pena conferir ambos os trabalhos!

Depois de tudo o que já foi dito sobre a segurança do Mac, é bom ficar atento.

Veja o post do blog WebAppSec, do capítulo Portugal do OWASP:

A Intego, uma empresa que comercializa um software chamado VirusBarrier, um dos melhores software anti-virus disponíveis para a plataforma Mac OS X (linha Mac e iPhone), disponibilizou o seu relatório anual de segurança em que fala das principais ameaças a que os dispositivos da marca da maçã estiveram sujeitos durante 2009.

Deste relatório é possível destacar o seguinte:

1. Que as ameaças continua ainda a ser muito limitadas, embora se note uma tendência para que as mesmas cresçam;
2. As principais ameaças resultam da instalação de software pirateado (iWork’09, Adobe CS4), ou resultam de fazer Jailbreak ao iPhone e instalar o OpenSSH;
3. Que apesar de tudo, grande parte destas ameaças necessitam de uma colaboração total por parte dos utilizadores dos dispositivos;
4. Apesar de tudo, começam já a existir software de segurança de qualidade que podem ajudar a detectar e corrigir estes mesmos problemas.

Apesar da plataforma Mac continuar a ser pouco visada pelos atacantes, a verdade é que esses mesmos ataques mostram uma tendência para crescer. Estes ataques parecem visar para já apenas software de terceiros, em que existe uma implantação mais alargada do mesmo, mas a verdadeira exposição poderá acontecer (se nada for feito) quando os ataques acontecerem ao nível do próprio sistema operativo.

O relatório pode ser visto diretamente no link http://blog.intego.com/images/yims2009.pdf.

A Cisco lançou neste mês de dezembro o seu relatório anual sobre segurança da informação, relatando as ameaças de 2009 e tendências globais e recomendações de segurança para 2010.

Os principais assuntos do relatório são: spams, redes sociais, trojans, phishing scams, uma matriz BCG sobre o retorno financeiro dos ataques, conformidade e boas práticas de segurança da informação.

Na página 31, o Brasil assume o lugar do país que mais envia spam. Lamentável.

Para conferir o relatório (em inglês), clique aqui.

Foi lançada hoje a versão 2009 do relatório do CSI (Computer Security Institute) sobre crimes de informática. O relatório do CSI é a pesquisa mais citada em todo o mundo quando se trata de cybercrimes (crimes com uso de computadores).

A versão completa estará disponível para membros a partir de 08.12.2009, enquanto que o Resumo Executivo já pode ser visto por aqueles que se registraram para o webcast de lançamento. Aqueles que não quiserem se registrar e assistir o webcast, poderão ler o Resumo Executivo a partir de 08.12.2009. Ambas as versões estão disponíveis em inglês.

Para acessar o site do CSI, clique aqui.

O OWASP (Open Web Application Security Project) é uma comunidade focada em estudar, melhorar e divulgar a segurança de aplicações. Todos os materiais são livres e disponíveis através de licença de software aberto.

Neste mês de novembro foi lançado o Release Candidate 1 da versão 2010 do OWASP Top 10, documento que aponta os 10 maiores riscos de segurança em aplicações web. O documento é construído em cima de um consenso de especialistas em segurança de todo o mundo e qualquer um pode participar.

Além desse documento, existe também o OWASP Developer’s Guide, que traz centenas de vulnerabilidades de segurança em aplicações web. Orientação sobre como encontrar vulnerabilidades em aplicações é fornecida nos guias OWASP Testing Guide e OWASP Code Review Guide.

Para conferir o OWASP Top 10 2010 RC1, que deve ter sua versão final lançada em janeiro de 2010, clique aqui.