FACULDADE SETE DE SETEMBRO FASETE CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO JALLYSON DENYSON ALVES DA SILVA

Transcrição

1 1 FACULDADE SETE DE SETEMBRO FASETE CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO JALLYSON DENYSON ALVES DA SILVA ESTUDO BIBLIOGRÁFICO SOBRE POLÍTICAS DE SEGURANÇA PARA EMPRESAS DO COMÉRCIO ELETRÔNICO Paulo Afonso - BA Junho/2011

2 2 JALLYSON DENYSON ALVES DA SILVA ESTUDO BIBLIOGRÁFICO SOBRE POLÍTICAS DE SEGURANÇA PARA EMPRESAS DO COMÉRCIO ELETRÔNICO Monografia apresentada ao curso de Bacharelado em Sistemas da Informação da Faculdade Sete de Setembro, como parte dos requisitos necessários à obtenção do grau de Bacharel em Sistemas da Informação, sob a orientação do Professor Especialista Ricardo Azevedo Porto. Paulo Afonso - BA Junho/2011

3 3 FACULDADE SETE DE SETEMBRO FASETE CURSO DE BACHARELADO EM SISTEMAS DE INFORMAÇÃO JALLYSON DENYSON ALVES DA SILVA ESTUDO BIBLIOGRÁFICO SOBRE POLÍTICAS DE SEGURANÇA PARA EMPRESAS DO COMÉRCIO ELETRÔNICO Monografia apresentada ao curso de Bacharelado em Sistemas da Informação da Faculdade Sete de Setembro, como parte dos requisitos necessários à obtenção do grau de Bacharel em Sistemas da Informação, sob a orientação do Professor Especialista Ricardo Azevedo Porto. Aprovado em: / / BANCA EXAMINADORA Orientador Banca Banca

4 4 Aos meus pais, pelo exemplo, motivação e apoio durante toda a vida

5 5 AGRADECIMENTOS A Deus, pelo dom da Vida e por ter guiado meus passos na realização de mais uma conquista. Aos meus pais, José Alves da Silva e Maria Eliane da Silva, por me proporcionarem esta realização e pelo apoio incondicional em todos os momentos de minha vida, principalmente nos difíceis, onde este apoio fazia toda a diferença. Vocês são meus exemplos de luta, perseverança e amor. Amo vocês! Aos meus irmãos, pelos momentos em que rimos, brigamos, nos reconciliamos, brincamos ou que ficamos simplesmente lado a lado, no silêncio de nossos pensamentos. A simples existência de vocês em minha vida a torna mais leve e alegre. Pois disse Jesus: Quão bom e quão suave é que os irmãos vivam em união. A minha tia Edvânia que durante quase dois anos me acolheu em sua casa, em sua vida e em seu coração, dispensando a mim todo apoio e amor necessário para que minha caminhada fosse mais leve e por meio dela, estendo o meu agradecimento a todos os meus familiares que sempre acompanharam de perto cada dificuldade, e que sempre acreditaram e me incentivaram na busca dos meus sonhos. Aos meus amigos de faculdade Jaime e Jamilson, é chegada a hora de nos separarmos, mas ficará na memória as lembranças dos momentos que compartilhamos na sala de aula e dos quais sempre carregarei comigo. Aos meus amigos Flávio, Jailson e Wellington. Vocês são muito mais que amigos, são irmãos que sempre estão ao meu lado, compartilhando não somente os momentos alegres, que são os mais fáceis, mas principalmente os difíceis, onde me ajudam a buscar as soluções e seguir sempre em frente em busca da concretização de meus objetivos. Como a lenda de Damon e Pítias, cuja história de amizade é contada através dos séculos, vocês são pessoas que independente do momento,

6 6 uma certeza me conduz a ter firmeza, a certeza de que sempre estarão do meu lado. Aos meus professores Igor, Juliana, Leobson e Ryan. Seus ensinamentos ultrapassaram as paredes da sala de aula, sendo responsáveis não somente pela formação do profissional, mas contribuíram de forma singular para o aperfeiçoamento do cidadão Jallyson. E por fim, agradeço aqueles que de alguma forma contribuíram nessa minha jornada. Um Muito Obrigado a todos vocês!

7 7 Em que consiste o SUCESSO? Deixar o mundo um pouco melhor do que você encontrou. Seja por uma criança saudável, um bonito canteiro num jardim ou uma condição social redimida. Saber que pelo menos uma vida respirou mais facilmente porque você viveu. ISTO É TER TIDO SUCESSO! (Ralph Waldo Emerson )

8 8 SILVA, Jallyson Denyson Alves. Estudo Bibliográfico sobre um Modelo de Segurança para o Comércio Eletrônico p. Monografia (Curso Bacharel em Sistemas de Informação). Paulo Afonso/BA: Faculdade Sete de Setembro- FASETE. RESUMO As transações comerciais se tornaram uma modalidade cada vez mais acessível e moderna, de fato que as empresas não precisam ser presenciáveis e não envolve grandes investimentos em recursos e pessoas, podendo assim, a empresa virtual ser acessada de qualquer lugar do mundo através da Internet. No entanto, o comércio eletrônico apresenta diversas vulnerabilidades, tais como, riscos, invasões, ataques e proliferação de novas pragas virtuais, deixando assim usuários mais alerta sobre fatores relacionados a privacidade e o uso impróprio de informação pessoal e financeira. Desta forma, é de tal importância discutir vulnerabilidades, riscos, ataques e ameaças relacionadas ao ambiente do comércio eletrônico, visando destacar políticas de segurança para solucionar tais problemas. Palavras Chaves: Comércio Eletrônico, Segurança, Site. SILVA, Jallyson Denyson Alves. Literature Study on a Security Model for Electronic Commerce p. Monograph (Bachelor Course in Information Systems). Paulo Afonso/BA: Faculdade Sete de Setembro- FASETE. ABSTRACT Commercial transactions have become an increasingly accessible sport and modern, in fact that companies need not be presence and does not involve large investments in resources and people and can thus virtual enterprise be accessed from anywhere in the world via the Internet. However, electronic commerce has much vulnerability, such as risks, invasions, attacks and proliferation of new malware, leaving users more aware of factors related to privacy and the misuse of personal and financial information. Thus, it is of such importance to discuss vulnerabilities, risks, attacks and threats related to the environment of electronic commerce in order to highlight security policies to solve such problems. Words Keys: Electronic Commerce, Security, Website

9 9 LISTA DE ILUSTRAÇÕES Figura 1 - Exemplo de funcionamento do comércio eletrônico Figura 2 - Validação de acesso Figura 3 - Validação de acesso Figura 4 - Funcionamento do Firewall Figura 5 - Criptografia simétrical Figura 6 Representação de chave assimétrica Figura 7 - Demonstração de assinatura digital Figura 8 Funcionamento de uma assinatura digital Figura 9 Acesoa ao comércio eletrônico Quadro 1 - Criptografia... 35

10 10 SUMÁRIO 1. CONSIDERAÇÕES INICIAIS JUSTIFICATIVA PROBLEMA DE PESQUISA OBJETIVO OBJETIVO GERAL OBJETIVOS ESPECÍFICOS METODOLOGIA COMÉRCIO ELETRÔNICO CONCEITOS IMPORTANTES PARA DISCUSSÃO DO COMÉRCIO ELETRÔNICO RELACIONAMENTO COM CLIENTES E FORNECEDORES SISTEMAS ELETRÔNICOS DE PAGAMENTO PRIVACIDADE E SEGURANÇA COMÉRCIO ELETRÔNICO NA INTERNET ASPECTOS QUE FRAGILIZAM A SEGURANÇA DA INFORMAÇÃO NO COMÉRCIO ELETRÔNICO VULNERABILIDADES ATAQUES COSS-SITE SCRIPTING (XSS) AS CONSEQÜÊNCIAS DE ATAQUES CROSS SITE SCRIPTING (XSS) ATAQUES SQL INJECTION DETECTANDO A VULNERABILIDADE DE UM SISTEMA SQL INJECTION AMEAÇAS A SEGURANÇA DAS EMPRESAS DO COMÉRCIO ELETRÔNICO VÍRUS CAVALO DE TRÓIA (TROJAN) ADWARE E SPYWARE SOLUÇÕES ENCONTRADAS PARA COMBATE ASPECTOS QUE INIBAM A SEGURANÇA DE EMPRESAS DO COMÉRCIO ELETRÔNICO INTRODUÇÃO ANTIVÍRUS FIREWALL CRIPTOGRAFIA CHAVES SIMÉTRICAS CHAVE ASSIMÉTRICA COMBINAÇÃO DOS TIPOS CRIPTOGRÁFICO (HASH)... 36

11 PROTOCOLOS DE AUTENTICAÇÃO SECURE ELECTRONIC TRANSACTION (SET) SECURE HYPER TEXT TRANSFER PROTOCOL (S_HTTP) SECURE SOCKETS LAYER (SSL) CERTIFICAÇÃO DIGITAL E ASSINATURA DIGITAL FUNCIONAMENTO DA ASSINATURA DIGITAL POLÍTICAS DE SEGURANÇA PARA EMPRESAS DO COMÉRCIO ELETRÔNICO INTRODUÇÃO POLÍTICAS PARA UM SITE DE COMÉRCIO ELETRÔNICO EFICAZ POLÍTICAS DE SEGURANÇA PARA ACESSO A SITE E-COMMERCE POLÍTICAS DE SEGURANÇA PARA PREVENIR SQL INJECTION POLÍTICAS DE SEGURANÇA PARA EVITAR CROSS SITE SCRIPT (XSS) CONSIDERAÇÕES FINAIS TRABALHOS FUTUROS REFERÊNCIAS BIBLIOGRÁFICAS... 53

12 12 1. CONSIDERAÇÕES INICIAIS 1.1 CONTEXTUALIZAÇÃO As sociedades contemporâneas e modernas sempre buscaram obter recursos disponíveis que melhorassem ou criassem novas formas de comercializar bens, buscando sempre facilidade e comodidade. A disponibilização de novos recursos tecnológicos surgidos no século passado, incluindo o surgimento da Internet, fez com que novos métodos fossem criados para resolver os problemas básicos relacionados às transações comerciais, sendo assim, facilitando processos dos setores comerciais, proporcionando maior interatividade e melhor organização dos recursos tecnológicos. Os recursos tecnológicos, segundo Cameron (1997), é mais uma ferramenta empresarial, que altera as bases de competitividade e estratégias empresariais. Através dela, as organizações passaram a realizar seus planejamentos e a elaborarem estratégias voltadas para o futuro, tendo a Tecnologia da Informação (TI) sua principal base, devido a impactos sociais e empresariais causados por ela. Segundo Alberto (2001), o ambiente empresarial tanto em nível mundial como nacional, tem passado por mudanças significativas nos últimos anos, as quais têm sido consideradas diretamente relacionadas à TI. Essa relação engloba desde as necessidades de novos ambientes, até o aparecimento de novas oportunidades empresariais criadas pelas novas tecnologias. Com o surgimento de novas tecnologias, as organizações começaram adotar os Sistemas de Informação (SI), como um elemento fundamental para armazenar, tratar e fornecer informações que apóiam funções ou processos da empresa. O comércio eletrônico ou e-commecer (electronic commerce), é o aglomerado de sistemas de informação transacionados na cadeia de processos de negócios em um ambiente eletrônico, por meio da aplicação intensa das tecnologias de comunicação e de informação, atendendo aos objetivos de negócio. Com o comércio eletrônico, as empresas ganharam acessibilidade global e alcance de vendas, ou seja, as empresas poderão expandir sua base de clientes e sua linha de produtos, visto que

13 13 com o auxílio da Internet a mesma poderá ser acessada de qualquer lugar do mundo, entre outras vantagens relata (GUASTI, 2009). Um dos fatores primordiais para o acontecimento e desenvolvimento do comércio eletrônico é a segurança, pois, durante a realização de um negócio na internet informações tanto dos consumidores como das transações são necessárias para que possa ser realizada. Em ambiente e-commerce há vários fatores que poderm pôr em risco as transações comerciais, tais como os ataques Cross-Site Scripting (XSS) e a SQL injection. O primeiro ataque permite aos crackers inserirem códigos maliciosos dentro do código fonte do site, geralmente é usado em ataques phishing para roubar dados dos usuários, enquanto o segundo, é uma técnica usada por criminosos para executar comandos não autorizados, como a manipulação da entrada de dados em uma aplicação. Entretanto há outros fatores que podem diminuir ou limitar a segurança tais como: riscos, ataques e ameaças. Deste modo, o presente projeto dará continuidade a pesquisas que já foram realizadas, com finalidade de apresentar com maior clareza e entendimento as vulneralidades existentes no comércio eletrônico e, além disso, será apresentado normas, regras e padrões a serem seguindos, que fundamentem políticas de segurança que previnam riscos e combatam ataques ao comérico eletrônico. 2. JUSTIFICATIVA De acordo com Limeira (2007), a segurança na transmissão de dados é um dos empecilhos para a concretização dos negócios pela rede por um internauta. Pois, durante a realização de uma compra de mercadoria, dados do usuários serão informados. Para Franco (2005), a realização de negócios na Internet, comerciantes e clientes necessitam de um procedimento automático de coleta dados com segurança e processar pagamentos de cartões de débito ou crédito. Assim sendo, uma das técnicas mais utilizadas, atualmente, é a criptografia. No desenvolvimento desse trabalho de conclusão, almeja-se apresentar soluções de prevenção e regras

14 14 melhorarem a segurança da informação, possiblitando direcionar políticas serviram para uma acesso seguro a empresas do e-commerce. que 3. PROBLEMA DE PESQUISA Como devem ser apresentadas políticas de segurança para acessos a sites do comércio eletrônico Como detectar riscos, falhas e ataques. De forma, que sejam apresentados os ataques mais freqüentes à empresas do comércio eletrônico? 4. OBJETIVO 4.1 OBJETIVO GERAL Definir Políticas de Segurança para sites de e-commerce 4.2 OBJETIVOS ESPECÍFICOS Conceber, a partir da literatura, Políticas de Segurança para site do e- commerce; Identificar os tipos de vulnerabilidade que podem ocorrer em sites comerciais. Proporcionar a prevenção de informação, que poderão ser fraudadas. Identificar mecanismos de prevenção que combatam as vulnerabilidades do comércio eletrônico.

15 15 5. METODOLOGIA A metodologia a ser utilizada no presente trabalho se baseia no estudo das ferramentas e tecnologias necessárias para a segurança dos serviços disponibilizados para as transações do e-commerce. A mesma será realizada através de análise das fontes primárias e secundárias, utilizando-se de livros, sites e publicações sobre o referido tema.

16 16 6. COMÉRCIO ELETRÔNICO Com o avanço e a democratização do acesso a Internet ocorrida nos últimos anos e o surgimento de novos software e hardware, o comércio eletrônico se tornou uma nova forma de facilitar transações comerciais. Segundo CUNNINGHAM (2000), a tecnologia está possibilitando o desenvolvimento de novos produtos, serviços e, além disso, mudando a forma de interação entre empresas e clientes, viabilizando as seguintes capacidades: Entrega online e informação de marketing; Acesso eletrônico a serviços; Habilidade de solicitar e obter serviços específicos; Pagamento e apresentação eletrônica de contas; Habilidade de utilizar software integrados; Pagamentos online, utilizando cartões de crédito criptografados; Na Figura 1 é apresentado um exemplo do funcionamento do comércio eletrônico. Figura 1 - Exemplo de funcionamento do comércio eletrônico Fonte: (Veríssimo, 2004) A Figura 1 representa os processos existentes nas transações eletrônicas envolvendo o comércio eletrônico, te tal forma, que se têm um loja virtual sendo

17 17 acessada, nessa transação o cliente verifica a disponibilidade do produto no banco de dados, seguindo com pedido, o pagamento é em forma de boleto bancário, e o fornecedor confirma o pagamento e enviará o produto através de um frete. Desta forma, a finalizar a cadeia no processo funcional do comércio eletrônico. Considerando que uma empresa de pequeno porte possua em sua estrutura um mínimo de tecnologia, e a aplique através de sistemas informatizados em seu processo comercial, ela irá possuir vantagens equivalentes que uma empresa de grande porte, que neste caso realizou grandes investimentos nesta área. Segundo Whinston apud Albertin (2000, p. 212), comércio eletrônico envolve mais do que apenas compra e venda. Inclui também novos enfoques para pesquisa de mercado, geração de lideranças qualificadas de vendas, anúncios, compra e distribuição de produtos, suporte a cliente, recrutamento, relações públicas, operações de negócio, administração da produção, distribuição de conhecimento e transações financeiras. Portanto, o comércio eletrônico é um conjunto de medidas e procedimentos que foram reexaminados dos antigos processos fundamentais de negócios. Muitos destes processos não sofreram modificações ao longo dos últimos anos, porém eles afetam o planejamento estratégico, oportunidades empreendedoras, projeto e desempenho organizacional da empresa. Sendo assim, o comércio eletrônico é uma emergente modalidade de negócio, sendo potencialmente satisfatório na implementação de novas estratégias e oportunidades de negócio. Para a empresa em si, a redução de custos e melhoria de processo é de suma importância, considerando ainda que o comércio eletrônico proporciona melhorias no relacionamento com clientes, abrindo novos canais de vendas, serviços e novas formas de relacionamento. E por outro lado, os clientes desejam as facilidades que o comércio eletrônico proporciona. De acordo com Albertin (2000, p. 214), os clientes desejam acessar e fornecer as informações relativas aos produtos e serviços de forma eletrônica.

18 CONCEITOS IMPORTANTES PARA DISCUSSÃO DO COMÉRCIO ELETRÔNICO A utilização do comércio eletrônico como uma modalidade de negócios é benéfica tanto para a empresa quanto para o cliente. No entanto, faz-se necessário perceber alguns aspectos importantes que envolvem este tipo de comércio, desde a implementação até a manutenção. Segundo (CUNNINGHAM, 2008), os aspectos a serem considerados nos estudos e nas aplicações de comércio eletrônico são os seguintes: Adoção, Relacionamento com Clientes fornecedores, Sistema Eletrônico de Pagamentos, Privacidade e Segurança, Aspectos de Implantação, Comprometimento Organizacional, Competitividade e Aspectos Legais. Todas essas questões devem ser levadas em consideração quando se pretende fazer transações comerciais pelo meio eletrônico. Por esse motivo, todas elas merecem ser analisadas de uma forma mais específica e pontual. O Relacionamento com clientes e fornecedores, por exemplo, constitui um tema bem viável para iniciar essa discussão. 6.2 RELACIONAMENTO COM CLIENTES E FORNECEDORES O relacionamento com clientes e fornecedores tem sido cada vez mais uma das bases para as estratégias das organizações. Esse relacionamento tem como fundamento a integração entre os participantes de uma cadeia de valor, que evoluiu de uma integração interna localizada e baseada em transação para uma integração virtual entre todos. Por fim, o relacionamento com os clientes em comércio eletrônico, como um modelo de negócio é onde as organizações devem concentrar seus esforços, pois deste relacionamento é que os resultados serão obtidos, e principalmente mantidos.

19 19 Segundo Albertin (2000, p.201), no aspecto relacionamento as contribuições do comércio eletrônico são que as tecnologias podem alavancar um redesenho das relações inter-organizacionais, permitindo às companhias: Melhorar a coleta de informações sobre um ambiente extra-fronteira; Estabelecer parcerias em meios eletrônicos com seus clientes; Compartilhar plataformas e mercados eletrônicos com seus concorrentes. Tendo uma melhor coleta de dados, é possível conhecer melhor o cliente. Já o estabelecimento de parcerias através de meios eletrônicos, proporciona uma integração disponível facilmente acessível, além de eliminar intermediários. Os relacionamentos decisivos freqüentemente duram muitos anos, sendo que os relacionamentos individuais em muitos casos transcendem as empresas e organizações. De acordo com Cunningham (2000, p. 39), confiança, valor e desempenho são importantes para que o relacionamento torne-se produtivo. Além da importância de um relacionamento produtivo, deve-se levar em consideração também a ambientação das transações, para que o relacionamento possa ser efetivo e com longevidade. 6.3 SISTEMAS ELETRÔNICOS DE PAGAMENTO Os sistemas eletrônicos de pagamento são primordiais para que o comércio eletrônico funcione efetivamente. Para (CUNNINGHAM, 2008), as transações eletrônicas de negócios somente podem ter sucesso se as trocas financeiras entre compradores e vendedores puderem acontecer em um ambiente simples, universalmente aceito, seguro e barato. Vários sistemas têm sido propostos, alguns deles baseados em mecanismos transacionais (por exemplo, contas de cartão de crédito). O papel-moeda e cheques não funcionam nesta modalidade de negócios, pois não permite uma troca em tempo real entre as empresas.

20 20 A transação de pagamentos em sistemas eletrônicos é uma modalidade que exige altíssimo nível de privacidade, garantindo aos envolvidos no negócio maior segurança. 6.4 PRIVACIDADE E SEGURANÇA Uma fonte potencial de problemas é a preocupação dos clientes com privacidade e segurança, que poderia levar uma forte reação contra fornecedores que utilizam sistemas vulneráveis ou simplesmente a sua não-utilização por parte dos clientes. A segurança dos sistemas on-line tem evoluído muito rapidamente, sendo que novas soluções técnicas têm surgido assim que novas estratégias de Comércio eletrônico têm sido implementadas. A privacidade e segurança é um fator potencial de problemas quando o assunto é comércio eletrônico. Para (CUNNINGHAM, 2008) Os clientes são relutantes em disponibilizar aos fornecedores os dados que mostram a eles o padrão de compras, informações demográficas e necessidades de produtos. LIMEIRA (2003, p. 223) destaca que o protocolo Secure Socket Layer (SSL) é uma ferramenta desenvolvida para solucionar o problema de segurança envolvendo transações online. A segurança é estritamente necessária para se realizar negócios eletrônicos. Alguns termos de segurança no comércio eletrônico são vitais: autenticação, bloqueio, confiabilidade, criptografia, disponibilidade, falsificação, firebreak, firewall, integridade, negação de serviço e privacidade. 6.5 COMÉRCIO ELETRÔNICO NA INTERNET KOTLER (2008, p. 444) argumenta que os avanços tecnológicos recentes criaram uma era digital. A ampla utilização da Internet e outras tecnologias estão tendo um impacto tanto nos compradores, quanto nas empresas que os atendem. Fazer negócio em um ambiente digital como a Internet pode ser estimulante, onde o comércio eletrônico proporciona melhorias e redução de custos para alguns

21 21 usuários, e para outros, é uma forma de comércio não tão segura, pois faltam regras específicas se segurança e forma de acessos padronizados. Os riscos do comércio eletrônico na Internet podem estar não só na falta de regras específicas e eficientes, mas também nas brechas de segurança, proporcionada pela estrutura aberta da Internet. Existe uma busca de tecnologia que garanta total segurança na Internet, mecanismos eficientes de segurança estão sendo disponibilizados e melhorados, e devem ser utilizados com mais freqüência pelas empresas. A realidade é que o mundo está cada vez mais tecnológico em que vive o homem, tem impulsionado as pessoas para a praticidade e rapidez dos meios eletrônicos. No entanto, devemos ter precações quando o assunto é comércio eletrônico, pois se caracteriza um ambiente que está vulnerável e suscetível à risco, falhas, ameaças e ataques constantemente. 7. ASPECTOS QUE FRAGILIZAM A SEGURANÇA DA INFORMAÇÃO NO COMÉRCIO ELETRÔNICO 7.1 VULNERABILIDADES Para BARENOIM (2010), vulnerabilidade é uma falha em que o usuário fica desprotegido, aonde um usuário mal intencionado explorar para obter algo que não é autorizado pelo usuário legítimo. Quando uma vulnerabilidade é explorada e compromete de fato a segurança do sistema ou informações nele contidas, podemos dizer que ocorreu um incidente de segurança. Tais vulnerabilidades podem ser causadas por falhas de engenharia, design do programa ou mesmo por problemas em sua implementação e configuração. O aumento nas transações on-line tem sido acompanhado por um proporcional número e tipo de ataques contra a segurança dos sistemas de empresas do comércio eletrônico. Alguns desses ataques têm utilizado as vulnerabilidades como forma possível de acessar informações confidenciáveis.

22 22 As vulnerabilidades em sistemas e-commerce abrangem uma série de razões, de fato, por serem transações que envolvam pouca interação entre cliente e fornecedor. Razões que não são exclusivas para estes sistemas, mas o seu impacto se torna maior por causa da natureza financeira das operações. Um dos principais motivos para essas vulnerabilidades é o fato de que desenvolvedores de aplicações web geralmente não dominam técnicas e padrões de programação segura. Como resultado, a segurança da aplicação não é necessariamente um dos objetivos do projeto. Esta situação é agravada pela corrida ao cumprimento dos prazos no veloz mundo e-commerce. No mundo competitivo do comércio eletrônico normalmente são encontrados casos em que sites precisam adicionar funcionalidade rapidamente para lidar com uma mudança repentina no ambiente de negócios ou simplesmente para ficar à frente da concorrência. Em tal cenário, a atitude é obter a linha funcionalidade, e a segurança fica em segundo plano. Outra razão pela qual as vulnerabilidades de segurança aparecem é por causa da complexidade inerente à maioria dos sistemas on-line, bem como, os ataques que são freqüentemente ao e-commerce. 7.2 ATAQUES COSS-SITE SCRIPTING (XSS) O Cross-Site Scripting (XSS), são ataques altamente populares nos dias atuais que permitem ao atacante inserir códigos maliciosos nessas páginas, para que sejam executados no momento em que tais páginas forem acessadas, de forma que esses sites web que afixam dinamicamente conteúdo utilizador sem efetuar controle e codificação das informações apreendidas pelos utilizadores. De acordo com KIOKEA (2009). A vulnerabilidade poderia ser:

23 23 Um bug do browser que sob determinadas condições permite conteúdos (scripts) de determinado nível ser executado com permissões de níveis mais altos. Um erro na configuração do browser; sites não-seguros listados em zonas privilegiadas. Vulnerabilidade de cross-site scripting em uma zona privilegiada. Segundo VIERA (2008), ressalta que muitos administradores de sites falham em não se atentar para ataques XSS, pois não se preocupam com esse tipo de ataque ou não tem conhecimentos específicos para atenuar o problema. De forma que, um ataque XSS quando explorada por um atacante hábil, ou mesmo um iniciante, pode ser um ataque poderoso e pode trazer grandes conseqüências para a segurança do sistema AS CONSEQÜÊNCIAS DE ATAQUES CROSS SITE SCRIPTING (XSS) Para VIERA (2008), os criminosos criam links manipulados e os enviam as vítimas, e as mesma clicam em tal link, um código javascript que pode ser executado para enviar os cookies 1 da vítima para um script CGI, e geralmente um ataque desses poderia obter danos maiores as vítimas. Quando um atacante cria um link malicioso, ele normalmente codifica o código javascript 2 ou algum tipo de codificação para ocultar o código malicioso. Segundo KIOSKEA (2009), o código injetado na página web pode assim servir para afixar um formulário a fim de enganar o usuário e fazer-lhe introduzir, por exemplo, informações de autenticação. Sendo assim, o formulário injetado pode permitir o encaminhamento do usuário para outra página sob o controle do atacante, possuindo eventualmente a mesma conversão gráfica que o site comprometido a fim de enganar o usuário. 1 Cookie é um grupo de dados trocados entre o navegador e o servidor de páginas, colocado num arquivo (ficheiro) de texto criado no computador do utilizador. 2 JavaScript é uma linguagem de programação interpretada e multi-plataforma mantida pela Netscape. Ela pode ser utilizada no lado do servidor e no lado do usuário

24 24 O ataque mais comum utilizado contra vulnerabilidades XSS é a execução de códigos javascript que permitem o seqüestro de sessão (roubo de cookie). Utilizando javascript também seria possível fazer diversos procedimentos com contas de usuários, tal como, alterar detalhes de seu perfil. Em tal contexto, a relação de confiança que existe entre o usuário e o site web fica completamente comprometida. O maior risco que o XSS pode trazer é a execução de códigos no computador do usuário.entretanto, isso pode ocorrer apenas se há uma vulnerabilidade no browser 3 que o usuário utiliza, permitindo que um ataque de tal tipo se dissemine, para prevenir isso, é essencial manter o navegador atualizado com todos as extensões de segurança disponíveis. Nesse caso, a prevenção pode constituir como a melhor forma para o meio eletrônico, atenuando os ataques XSS. 7.3 ATAQUES SQL INJECTION Segundo VAILATI (2006) o sql Injection é um ataque contra o banco de dados de uma empresa via web site. Nesse ataque, os crackers executam comandos não autorizados de SQL ao aproveitar sistemas inseguros que estão conectados na internet. Uma das técnicas de fraude mais conhecida pelos desenvolvedores web é a SQL Injection. Trata-se da manipulação de uma instrução SQL através das variáveis quem compõem os parâmetros recebidos por um script server-side, tal como PHP, ASP, ColdFusion e outros. VAILATI (2006) ressalta que: [...] O principal motivo pelo qual deve-se impossibilitar a utilização da SQL Injection está no fato de que, através de uma simples instrução SQL, como por exemplo, uma projeção de dados, outras operações podem ser executadas, podendo impactar sobre o esquema das tabelas, os dados 3 browser, é um programa de computador que habilita seus usuários a interagirem com documentos virtuais da Internet, também conhecidos como páginas HTML, que estão hospedadas num servidor Web.

25 25 armazenados, e até mesmo sobre elementos do sistema operacional, tendo em vista que alguns bancos de dados permitem a execução de comandos do shell do próprio sistema operacional. Segundo VAILATI (2006), explica que é necessário combater o SQL Injection pela facilidade que apresenta de execução de outras operações apenas com um comando, tornando o sistema mais vulnerável. Por isso, deve-se atentar para ações que detectem essa abertura DETECTANDO A VULNERABILIDADE DE UM SISTEMA SQL INJECTION Segundo SÊMOLA (2000, p.48), fragilidade na manipulação de informações quando explorada por ameaças, permitem ocorrência de um incidente de segurança, afetando negativamente um ou mais princípios da segurança da informação: confiabilidade, integridade e disponibilidade. Na Figura 2 abaixo é apresentado o conceito de SQL Injection, a seguinte ilustração simula o que pode ser realizado. Imagina-se que um script de validação de acesso de usuários tenha sido desenvolvido como segue. Figura 2 - Validação de acesso Fonte: Imasters De acordo com as linhas de código 3 e 4, são as variáveis $usuario e $senha, respectivamente, recebem o conteúdo submetido por um formulário através do método POST. De acordo com Vailati (2006), a seguinte entrada tenha sido informada no campo usuário no formulário chamador do script de validação.