Desde a popularização da internet através do seu uso comercial ocorrida durante a década de 90, os ataques aos sistemas computacionais se tornaram mais freqüentes. Inicialmente os ataques eram mais direcionados a sistemas operacionais e aos serviços de rede como se pode observar nas relações de tipos de ataques mais comuns de diversos institutos como CERT Internacional. No Brasil os primeiros relatos documentados pelo CRT.br datam do ano de 1997. Observando as estatísticas dos ataques ocorridos realmente se observa que eram mais direcionados para sistemas operacionais e serviços de rede.
Com o crescimento acelerado dos ataques, as empresas, governos, universidades investiram massivamente em soluções de segurança, tais como firewall, sistemas de detecção de intrusão, anti-virus, gerenciamento de patchs. Também houve investimento na definição de procedimentos e processos para o gerenciamento da segurança da informação, como ITIL, COBIT e SOX, também houve investimento e definição de legislações específicas para tratar os principais problemas, tanto no Brasil como em outros países.
##RECOMENDA##
Todas estas iniciativas, associadas ao tempo para o amadurecimento em relação a compreensão dos problemas e definição de padrões de segurança, fez como que entre 1997 e 2007 o índice de ataques reportados relacionados a falhas de segurança em sistemas operacionais e redes de computadores tenham caído de forma significativa, como mostrado na Figura 1.
Analisando os dados acima apresentados, vemos que com a definição de procedimentos, amadurecimento sobre a compreensão dos problemas e evolução da tecnologia, houve uma significativa diminuição dos problemas de segurança relacionados a falhas e vulnerabilidades apontadas em sistemas operacionais e redes.
Neste sentido entende-se que houve uma melhoria na qualidade percebida e garantida, QA – Quality Assurance, em relação aos serviços prestado pelos administradores de sistemas, consultores de segurança e engenheiros de segurança.
Figura 1 Ataques a sistemas operacionais e rede reportados pelo CERT.br
Este amadurecimento em relação aos trabalhos desenvolvidos pelas equipes responsáveis pela gestão da infra-estrutura teve como conseqüência a mudança no foco dos mesmos, as aplicações se tornaram o alvo principal.
É inegável que os problemas de segurança ainda persistem, no entanto, não estão somente relacionados às falhas em sistemas operacionais ou serviços de rede, o que se observou é que o maior foco dos ataques mudou e atualmente esta nas aplicações web, como observado na Figura 4.
Figura 2 Ataques 2010 reportados ao Cert.br
“Legenda:
• dos (DoS -- Denial of Service): notificações de ataques de negação de serviço, onde o atacante utiliza um computador ou um conjunto de computadores para tirar de operação um serviço, computador ou rede.
• invasão: um ataque bem sucedido que resulte no acesso não autorizado a um computador ou rede.
• web: um caso particular de ataque visando especificamente o comprometimento de servidores Web ou desfigurações de páginas na Internet.
• scan: notificações de varreduras em redes de computadores, com o intuito de identificar quais computadores estão ativos e quais serviços estão sendo disponibilizados por eles. É amplamente utilizado por atacantes para identificar potenciais alvos, pois permite associar possíveis vulnerabilidades aos serviços habilitados em um computador.
• fraude: segundo Houaiss, é "qualquer ato ardiloso, enganoso, de má-fé, com intuito de lesar ou ludibriar outrem, ou de não cumprir determinado dever; logro". Esta categoria engloba as notificações de tentativas de fraudes, ou seja, de incidentes em que ocorre uma tentativa de obter vantagem.
• outros: notificações de incidentes que não se enquadram nas categorias anteriores.”
Mais precisamente, este maior enfoque nas aplicações web teve inícios em 2007. Este fato pode ser evidenciado de várias formas, dentre elas, através das consultas feitas ao cache do Google apresentada pela aplicação Google trends e mostrada na Figura 3. Como se pode observar antes de 2007 há poucos registros de consultas relacionadas a segurança de aplicações web. Utilizando a mesma metodologia vemos na Figura 4 que as consultas relacionadas a segurança de redes - assunto de maior escopo relacionado a segurança de sistemas operacionais e serviços de rede - vem caindo anos após ano como conseqüência do amadurecimento em ralação a este tópico.
Figura 3 Consulta ao Google trens sobre “web application security”, ultimo acesso fev 2011
Figura 4 Consulta ao Google trens sobre “network security’, ultimo acesso fev 2011
Ainda como fato que se pode apontar como motivador para a necessidade dos ataques estarem mais focados nas aplicações web, temos neste período o surgimento das aplicações WEB 2.0, WEB 3.0, a consolidação do browser como porta de entrada para todas as aplicações, o surgimento das API´s de desenvolvimento como a proposta do Google apps e Microsoft live e mais recentemente a computação nas nuvens.
Desta forma acredita-se, que da mesma maneira como ocorrido com os ataques a sistemas operacionais e a serviços de rede, será necessário desenvolver esforço de pesquisas, desenvolvimento de produtos e procedimentos e conseqüentemente o amadurecimento dos desenvolvedores de software no intuito de melhorar os códigos produzidos para as aplicações web, o que se pode chamar garantia da qualidade da segurança do software SSQA – Security Software Quality Assurance.