Carlos Serrão

as minhas notas e página pessoal…

Segurança (Web) em Portugal

| 0 comments

Depois do mais recente episódio, da revelação de informação pessoal de um conjunto bastante significativo de efectivos da PSP, não deixa de ser curioso, que agora Maria José Morgado venha afirmar que “os recursos periciais colocados ao dispor do Ministério Público” sejam “ridiculamente escassos” e que a ameaça “não é só portuguesa, mas globalizada”.

Não lhe poderia dar mais razão…

De facto, esta nossa mania “tugista” de “depois de casa assaltada, trancas na porta” é sempre muito mais difícil de implementar e prosseguir. Já para não falar que é quase sempre muito mais dispendiosa (em todos os sentidos). Infelizmente, esta é quase sempre a principal aposta, quando problemas de segurança como aqueles que têm vindo a acontecer, têm um impacto significativo nos media (falo especificamente nestes, pois quantos existem, que não são sequer detectados ou conhecidos).

O Ministério Público, deveria agora, apontar igualmente o dedo, não apenas a quem realizou estes ataques, mas igualmente a si próprio, por não possuir uma política de segurança de informação que fosse a mais adequada para prevenir e mitigar este tipo de riscos. Não teria sido mais sensato, uma abordagem baseada na pro-acção do que agora esta baseada na reacção?!?

Gostaria apenas de centrar este breve comentário, na parte aplicacional da segurança, em particular na segurança das aplicações Web. Os riscos de desenvolver e disponibilizar  uma aplicação ao Mundo, através da Web há muito que estão identificados, assim como a forma de os mitigar nas aplicações. A maior parte das aplicações Web, algumas delas usadas para implementar aplicações da Administração Pública, sofrem de vulnerabilidades aplicacionais, que podem ser exploradas por atacantes determinados (nomeadamente através de SQL Injection ou de XSS). Estas vulnerabilidades, são simples de explorar, e o resultado das mesmas pode ser devastador.

Não importa mais uma vez frisar (na esperança que alguém com responsabilidade por esses mesmos sistemas possa ouvir/ler), que a segurança de um sistema é igual à segurança do seu elo mais fraco. Não importa quão segura é a rede. Se alguma aplicação desse sistema sofrer de vulnerabilidades que possam ser exploradas, então um atacante irá optar pelo caminho mais fácil – e estas vulnerabilidades aplicacionais podem (ajudar a) comprometer o próprio sistema, e os seus dados.

Nunca é demais citar aqui algumas organizações que são uma referência importante na área da segurança aplicacional para a Web. Ficam desde já aqui alguns recursos importantes:

Vale a pena reflectir sobre esta abordagem reactiva, por contraponto à abordagem tradicional, e pouco eficiente numa perspectiva de evitar que mais ataques destes possam vir a ocorrer.

  • RSS
  • Twitter
  • Buzz
  • LinkedIn
  • Flickr