Empresas demoram para consertar brechas em seus sites

Empresas demoram para consertar brechas em seus sites

O número de erros de codificação nos sites continua a cair, mas as empresas são lentas para resolver problemas que poderiam ser explorados por crackers que trabalham com ferramentas de ataque sofisticadas, disse um especialista em segurança.

A média de vulnerabilidades graves introduzidas pelos desenvolvedores de sites em 2011 foi de 148, contra 230 em 2010 e 480 em 2009, disse Jeremiah Grossman, CTO da WhiteHat Security, especializada em testar sites para questões de segurança.

As falhas estão no código do site e não podem ser corrigidas por meio da aplicação de patches de, por exemplo, Microsoft ou Oracle, disse Grossman. De acordo com estatísticas da WhiteHat, as organizações levam uma média de 100 dias para consertar cerca de metade de suas brechas.

O risco é que as brechas que não puderam ser solucionadas rapidamente podem ser encontradas por um cracker, resultando em uma violação de dados de alto nível como a que atingiu a Sony.

Os cibertacantes estão aprimorando suas habilidades e se tornando mais focados. Eles estão usando uma ampla gama de ferramentas melhoradas a fim de encontrar problemas de codificação em websites. “Ficam melhor a cada ano”, disse Grossman.

Analistas de segurança em empresa de Grossman constantemente tentam invadir sites pertencentes a grandes instituições financeiras e outras – com permissão. Os desenvolvedores destas empresas não contam pra WhiteHat quando colocam novas funcionalidades ou fazem alterações no site. Os hackers da WhiteHat tentam encontrar falhas de cross-site scripting, injeção de SQL ou vazamento de dados.

“Estamos constantemente invadindo [sites]”, disse Grossman. “Somos um LulzSec ou Anonymous 24/7. Nós não paramos.”

As empresas decidem se querem resolver os problemas, que muitas vezes envolve deslocar um desenvolvedor trabalhando em um novo recurso que a empresa precisa lançar, Grossman disse. É uma aposta, desde que a vulnerabilidade não seja encontrada por um cracker, mas pode custar caro à empresa se for.

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *