Como o BumbleBee facilita a observabilidade do eBPF com OCI
23 de janeiro de 2024
Edge AI e quantização de modelos para análises em tempo real
23 de janeiro de 2024
Os desenvolvedores têm a obrigação de construir rapidamente. Mas isso às vezes pode custar a criação de aplicativos e APIs que são mais vulneráveis a hackers mal-intencionados do que deveriam, de acordo com Ron Masas, principal pesquisador de vulnerabilidades da Imperva.
Um tema comum que ele vê em seu trabalho na empresa de segurança de dados e aplicativos é “não investir o suficiente em documentação e validação”, disse Masas neste episódio do podcast The New Stack Makers.
“Isso é algo muito comum: as equipes podem fugir tentando construir coisas o mais rápido possível. Mas eles se esquecem de construir o contrato adequado entre a solicitação e a resposta da API e de validá-lo usando coisas como o padrão OpenAPI.”
Na Imperva, o trabalho de Masas é basicamente dificultar o trabalho do invasor, encontrando e relatando continuamente vulnerabilidades em softwares e serviços amplamente utilizados. Ele se autodenomina um “hacker ético”, alguém que usa suas habilidades de hacker para se defender contra ataques.
A autorização fraca é outra vulnerabilidade comum que ele vê. “É incrível quantas vezes encontrei bugs onde há um ponto final da fatura com o ID da sua fatura, basta alterar o ID para outra coisa e adicionar um a ele. E de repente você vê a fatura de algum outro usuário. Isso é uma coisa real que acontece com bastante frequência.”
Mate seus zumbis
APIs ou aplicativos “zumbis”, coisas que foram construídas e tinham um propósito em algum momento, mas caíram em desuso, podem ser os principais alvos dos hackers. Rastrear essas APIs e aplicativos esquecidos é um dos truques que Masas emprega para encontrar vulnerabilidades.
“Se estiver usando uma estrutura, ou como a estrutura JavaScript, estou basicamente olhando para o decodificador e minificando-o e tentando obter todos os endpoints que ele usa”, disse ele. Ele também tenta se conectar com diferentes endpoints. “Digamos que existe (um) endpoint para, por exemplo, cortar o ID da barra dos usuários. Eu poderia tentar postar ou excluir esse tipo de coisa.”
É importante ficar de olho nas configurações padrão – às vezes, manter as configurações padrão pode introduzir vulnerabilidades, disse ele. Além disso, “ter um registro robusto é muito importante. Então você deseja poder registrar qualquer coisa inesperada. Isso ajudará você a se recuperar de uma vulnerabilidade ou a detectar que houve uma exploração mais cedo.”
Mas a proteção contra hackers também exige que os desenvolvedores e a equipe de segurança assumam suas responsabilidades, disse Masas.
Para os desenvolvedores, significa entender “quem consumirá sua API ou microsserviço”, disse o convidado do podcast.
“Campeões de segurança” integrados em equipes de desenvolvimento também podem ajudar, acrescentou. “Tenha alguém que esteja realmente curioso sobre (segurança) e incorpore isso no ciclo de vida de desenvolvimento e nas revisões de código”, aconselhou. “Acho que as revisões de código também são muito importantes e também podem ser usadas para educar os desenvolvedores à medida que enviam o código.”
Do outro lado da equação, as equipes de segurança devem ser mais diferenciadas na forma como comunicam vulnerabilidades. Nem tudo é uma emergência
“As equipes de segurança muitas vezes parecem dar grande importância a algo que não é realmente grande coisa”, disse Masas. Uma dependência não corrigida deve ser corrigida, observou ele. Mas “há uma diferença entre uma dependência que não é corrigida e outra que pode ser explorada.
Confira o episódio completo para saber mais sobre os estudos de caso da TikTok e da DigitalOcean, o que Masas pensa sobre IA e desenvolvimento e quais desafios de segurança podem surgir.
A postagem Como truques de hacking ético podem proteger suas APIs e aplicativos apareceu pela primeira vez em The New Stack.
