Na última sexta-feira, 14, aconteceu na Vila Madalena a edição de agosto do You Sh0t the Sheriff Pocket, evento de segurança da informação que reúne um grupo selecionado de profissionais para um papo descontraído sobre questões relevantes do mercado.

Esta edição foi um “encontro de dois mundos”: raridade em eventos brasileiros, o YSTS juntou em uma única edição as falas de um palestrante acadêmico e outro vindo do mercado de segurança da informação. Do lado universitário, Rafael J. Cruz trouxe um estudo conduzido por ele, com orientação do professor Diego Aranha, que demonstra uma vulnerabilidade em apps de bancos na plataforma Android. Já Wagner Elias, CEO da Conviso, apontou como há — no mercado — uma confusão entre Scan de Vulnerabilidades e Gestão de Vulnerabilidades.

A seguir, um resumo de ambas as palestras.

Análise de Segurança em Apps bancários na plataforma Android

O nome de Diego Aranha não é desconhecido, nem na academia nem no mercado de segurança da informação. Entre vários projetos, o professor do Laboratório de Segurança e Criptografia da Unicamp, ganhou projeção nacional ao desenvolver um estudo, em 2012, que apontava vulnerabilidades na urna eletrônica.

Atraído pelo assunto, Rafael J. Cruz procurou o professor para orientá-lo em seu projeto de iniciação científica, ainda sem saber exatamente qual seria seu objeto de estudo: “só sabia que queria invadir alguma coisa” — brinca. “Eu acho que para saber trabalhar com segurança, a pessoa precisa saber como atacar”.

Rafael decidiu apontar seu estudo para possíveis vulnerabilidades em apps de bancos para dispositivos Android. A escolha foi justificada com alguns números que dão uma ideia da relevância da plataforma no sistema bancário brasileiro.

Hoje 1 em cada 4 pessoas que têm conta corrente usa Mobile Banking — a proporção pode ser ainda maior, segundo alguns estudos. Do total de transações bancárias, 12% são feitas em dispositivos mobile, um crescimento de 127% entre 2013 e 2014. E é claro que esse crescimento atrai os esforços de fraudadores: estima-se que desde 2011, mais de R$ 1 bi tenha sido perdido em golpes.

Com o objeto definido, era preciso definir que tipo de vulnerabilidade seria explorada. Inicialmente, Rafael pensou em explorar as mais recentes, como a Freak e a Poodle (que permitem ao invasor quebrar a criptografia proporcionada pelo protocolo HTTPS), no entanto, em uma conversa, o prof. Diego recomendou a Rafael que ele testasse ataques mais básicos para verificar como os apps se comportavam frente a eles, antes de partir para ações mais sofisticadas.

Surpresa: a grande maioria dos apps de bancos não resistiu a ataques do tipo Man In The Middle (MITM)- uma forma de ataque em que os dados trocados entre duas partes, por exemplo você e o seu banco, são de alguma forma interceptados, registrados e possivelmente alterados pelo atacante sem que as vitimas percebam

Outra surpresa: alertar os bancos dessas vulnerabilidades é um pouco mais complicado do que pode parecer.

Segundo Rafael, todos os bancos que tiveram seus aplicativos testados foram alertados das falhas. Mais de duas semanas após o alerta, apenas um dos bancos respondeu ao chamado. O contato questionava: “porque estão pesquisando isso”?

Mais de um mês após os testes, Rafael entrou em contato com o SAC e com a ouvidoria dos bancos. Ao saber que se tratava de um estudo acadêmico, os atendentes direcionavam a chamada para o departamento de marketing.

Outros professores da Unicamp com contatos no setor bancário foram acionados para agilizar o contato entre Rafael e as áreas de segurança dos bancos.

Finalmente, depois da grande repercussão de uma matéria sobre o estudo publicada no portal G1, responsáveis dos bancos começaram a contatar o autor do estudo. “Ligaram para o Diego reclamando, que não estava certo a gente divulgar isso, mas nossa resposta é: isso é um trabalho científico. Não temos nenhum interesse em roubar nada”, afirmou Rafael.

A falta de sinergia entre os setores de atendimento ao consumidor e as esferas responsáveis pela segurança da informação dos bancos, neste caso específico, pode ser interpretada como um problema de Gestão de Vulnerabilidades? Esse foi o tema da palestra seguinte.

Scan de Vulnerabilidades não é Gestão de Vulnerabilidades

“Gestão é um trabalho longo e árduo”, afirmou Wagner Elias, CEO da Conviso, empresa paranaense especializada em pesquisa e serviços de consultoria em segurança de aplicações.

Segundo Wagner, hoje existe uma confusão entre Scan e Gestão. “O Scan é uma análise automatizada. Gera relatórios padronizados e — nas melhores soluções — permite fazer o acompanhamento das vulnerabilidades através de um dashboard, mas isso não identifica todas as vulnerabilidades, além de gerar um alto número de falsos positivos”.

Num cenário em que 54% dos servidores foram alvos de ataque (números do último ano), é preciso encarar alguns desafios: “consolidar vulnerabilidades, independente do tipo de análise, classificá-las de acordo com o risco real, e acompanhar e comunicar todos os times envolvidos no tratamento dessas vulnerabilidades”.

Esse acompanhamento não é algo simples. Envolve conhecimento profundo dos ativos do ambiente. Quais deles rodam processos críticos? Quais podem ser alvo? Quais foram analisados?

É preciso ter um atenta visão dos riscos. Quantas e quais vulnerabilidades existem e que ativos estão expostos a elas?

E é preciso comunicação e acompanhamento entre os setores envolvidos. Como e por onde eu recebo alertas? Quem são os responsáveis pelas correções? O que já foi corrigido e o que falta? Onde será documentado o tratamento das correções?

Voltando ao caso dos bancos, enxergamos não uma, mas duas falhas. Ambas relacionadas à gestão de vulnerabilidade.

A primeira diz respeito ao mapeamento das vulnerabilidades e dos responsáveis pelas correções. Apenas para recordar: a pesquisa conduzida na Unicamp explorou falhas antigas, para as quais já existem soluções.

A segunda está no encaminhamento de uma informação crítica. Uma vez coletada pelos canais de comunicação com o público, a informação a respeito da falha deveria ter sido encaminhada a quem de direito o quanto antes.

Também é importante destacar a falta de diálogo entre academia (pesquisa, desenvolvimento, inovação) e setor privado no Brasil. Um canal aberto entre pesquisadores e profissionais beneficiaria ambos os lados. O setor privado — que dispõe de menos recursos (ou mesmo tempo) para investir em pesquisa — ganharia muito ao tomar conhecimento dos últimos estudos científicos desenvolvidos na academia que, por sua vez, poderia abastecer o mercado corporativo com profissionais cada vez mais capacitados para enfrentar os seus desafios.

Rafael e Wagner concordam, e falam um pouco mais a respeito nas entrevistas que fizemos com ambos no fim do evento. Você pode ouví-las abaixo.

A YSTS, com total apoio da Io, acredita no potencial desta troca. Juntos, pretendemos cada vez mais promover encontros como o que aconteceu na sexta-feira. Fique ligado!