Vulnerabilidade de Lógica de Negócios
- #Segurança, Autenticação, Autorização
- #Pensamento Crítico
- #Automação
- #Python
- #Segurança da Informação
Sobre falhas de segurança de sistemas e o BBB 2024
Durante a campanha para decidir se Davi Brito continuaria no reality show Big Brother Brasil 2024, houve supostas alegações sobre o uso de automação de votos para inflar sua popularidade e ajudar ele a ganhar (não há comprovação oficial). Contudo, esse contexto permite associarmos o fato a uma vulnerabilidade chamada ‘Logical Flaw’ ou também chamada de ‘Business Logic Vulnerability’, essa falha pode permitir a exploração do próprio sistema para gerar comportamentos inadequados como a geração falsa de popularidade.
A OWASP, uma organização voltada à segurança de aplicações web reconhece essa vulnerabilidade não como uma fraqueza do sistema em questão, mas utilizar a própria dinâmica do sistema para fins negativos. Existem casos pelo mundo todo envolvendo esse problema, Facebook e Youtube são uns deles, tem até histórias de pessoas que conseguiram gerar compras por preços baixíssimos, como consta em um artigo de Diego de O Santos no site Medium a qual descreve como ele conseguiu comprar um tênis de 900 por 1,5 dólares. Diante disso, entende-se a gravidade do assunto e o alerta precisa ser constante, não é tão difícil de encontrar essa vulnerabilidade. Duvida? Então aqui vai um exemplo prático!
Em um site que não vou relevar sua identidade, descobri que se você postar um artigo e, o simples fato de acessar a página novamente pelo mesmo usuário pode gerar uma visualização, podendo gerar em uma grande quantidade uma falsa popularidade devido às visualizações. Para provar o meu ponto, desenvolvi um algoritmo que gera visualizações automáticas com a simples abertura de abas no navegador. Dessa forma, consegui em poucos minutos passar de 159 para 219 visualizações (código e imagens do feito em anexo abaixo).
Imagens do processo de exploração da vulnerabilidade
Como mitigar essa vulnerabilidade?
A fim de criar planos de resolução para esse problema, nada melhor do que verificar o que grandes empresas estão fazendo nesse sentido. Consequentemente, Nubank, C6, TIM e OLX mostram um norte interessante: criar programas de premiação reunindo especialistas na área para encontrar problemas nos sistemas da empresa. No campo internacional, a Google e a Apple tem esses programas chamados 'Bug Bounty', envolvendo pessoas de vários níveis de senioridade que, no final das contas o que importa é o resultado! Voltando ao Brasil, existem iniciativas para formar profissionais nessa área de cibersegurança e a criação de torneios/capture de flag ajudando a desenvolver a prática para resolução de problemas reais de segurança. Nesse contexto, a plataforma DIO possui promoções e sorteios de vagas em cursos de cibersegurança, além de haver o programa da Rede Nacional de Ensino e Pesquisa com a plataforma 'Hacker do Bem', que concede bolsas de estudo na área.
Outro potente aliado é a ISO 27001, uma norma internacional que especifica uma gestão de segurança da informação. Dessa forma, estar alinhado com práticas de segurança orientadas por essa norma cria um gerenciamento das vulnerabilidades, definindo avaliações de risco, resposta a incidentes e melhoria contínua. Além disso, a própria OWASP descreve alguns controles para lidar com essa vulnerabilidade, esses controles são documentações definindo o tratamento/gerenciamento do problema:
- Controles de Segurança e Privacidade para Sistemas e Organizações de Informação Federais
- Controles Críticos de Segurança do Conselho de Segurança Cibernética
- NIST O SP800-53
- Session Management Cheat Sheet
Em suma, diante do problema exposto, é preciso cautela das organizações para evitar esse problema, além de, na minha opinião, exigir a constante troca de ideias sobre vulnerabilidades a fim de atualizar as pessoas e preparar para reagir a cenários atuais onde todo dia surge novas mudanças que exigem nossa atenção para nos mantermos informados e seguros.
Fontes que utilizei para criar esse artigo
https://owasp.org/www-community/vulnerabilities/Business_logic_vulnerability
BBB 20: hacker mostra como criar bot para votar no paredão do reality | Seguranca
'Hackers do bem' são recompensados ao testar os sistemas de grandes empresas | CNN Brasil
Caçadores de recompensa: quanto as empresas pagam para quem detectar bugs em suas plataformas
CIS Critical Security Controls
Security and Privacy Controls for Federal Information Systems and Organizations