NOTÍCIAS 2002

Solução identifica pontos vulneráveis na Web

CLM lança programa capaz de descobrir furos de segurança das camadas de aplicação e evitar invasões que, em 75% dos ataques a sites corporativos, acontecem em portas de acesso públic

A paulistana CLM Informática, especializada em soluções de negócios eletrônicos, lança com exclusividade no Brasil, o WebInspect, programa de segurança para camada de aplicação na Web, da SPI Dynamics, pioneira em sistemas de proteção para Internet corporativa. De acordo com Francisco Camargo, presidente da CLM, uma das ameaças mais sérias para uma empresa é o ataque de um invasor nas portas 80 e 443, de acesso público, que não podem ser bloqueadas e, por isso, tornam-se um ponto altamente vulnerável, colocando em risco as informações essenciais de uma organização.

O executivo cita a pesquisa do Gartner Security, que estima que 75% dos ataques contra servidores Web acontecem na camada de aplicação. "O WebInspect detecta estas falhas de segurança quando o sistema ainda está em desenvolvimento, descobre novas vulnerabilidades e as atualiza automaticamente. Assim, sites como os de banco doméstico e empresarial e de comércio eletrônico ganham um potente mecanismo de proteção", acrescenta.

O aplicativo se comporta como um invasor, entra no sistema como se fosse um navegador Mozila e se infiltra na camada de aplicação, descobre logins e senhas e, por fim, acessa os bancos de dados. "Desta forma, consegue testar todos os possíveis caminhos de uma invasão, rastreando desde vulnerabilidades dinâmicas e estáticas, em diretórios, arquivos e cópias de segurança até a análise de JavaScript e de formulários. A solução ainda gera relatórios precisos, que informam as implicações de cada ponto desprotegido e indicam como deve ser corrigido, o que gera economia de recursos e de tempo de pesquisa", informa Francisco.

O executivo explica que firewalls e outros sistemas de proteção disponíveis no mercado não atuam na camada de aplicação e, por isso, não evitam invasões via navegador. "A solução da SPI Dynamics trabalha em conjunto com programas de segurança, reforçando suas funcionalidades", completa. Além disso, o aplicativo conta com ferramentas que rastreiam e identificam vínculos e URLs, bem como de varredura de caminhos truncados, em busca de diretórios listados ou erros incomuns. Outra funcionalidade é o teste dos parâmetros de passagem, que avalia o grau de vulnerabilidade de um formulário.

O WebInspect pode ser instalado localmente em um computador de mesa rodando Windows NT 4.0+ ou Windows 2000 Professional, com pelo menos 128 MB de RAM e 500 MB de espaço livre no disco rígido do sistema (em breve, versão Unix). "Mesmo com pouco conhecimento sobre a arquitetura da Internet, a configuração e inicialização do programa é fácil, o que o torna acessível para praticamente qualquer membro da equipe de desenvolvimento", finaliza. O custo é de US$ 7.100,00 por servidor.