A ascensão e o risco do código de terceiros

Online Code Editors for Web Developers

Os aplicativos que constituem a grande maioria das pilhas de tecnologia hipercomplexas atuais dependem fortemente de códigos de terceiros. Infelizmente, os benefícios significativos que esses componentes pré-fabricados oferecem são frequentemente comprometidos pelas sérias implicações de segurança da arquitetura de terceiros.

É essencial que as empresas modernas não apenas reconheçam estes riscos, mas também ajudem ativamente a conter o fluxo de ataques. Ferramentas de ponta, incluindo uma solução WAF de última geração, podem ser a única forma de garantir a existência de terceiros.

1. Código de terceiros: Por que reinventar a roda?

O código de terceiros descreve todas as linhas de um programa que podem ser reproduzidas em diferentes aplicações. Isso facilita o processo de desenvolvimento de um aplicativo, pois a reciclagem de código pode reduzir significativamente o tempo de lançamento no mercado. Mas mesmo depois de estabelecida a base de um aplicativo, o código de terceiros pode ser aproveitado por seus desenvolvedores para rastreamento de anúncios, avaliações de clientes, pagamentos, chatbots, gerenciamento de tags, integração de mídia social ou outras bibliotecas auxiliares que simplificam funções comuns.

A enorme utilidade e disponibilidade do código de terceiros fez com que ele se infiltrasse em todos os cantos da Internet: hoje, o código de terceiros representa até 70% de cada site. Na mesma pesquisa, 99% dos entrevistados disseram que os sites usados ​​e produzidos por suas organizações contêm pelo menos um trecho de código de terceiros.

Código aberto descreve um tipo de código de terceiros, embora o termo terceiro também se refira ao código desenvolvido externamente, cuja licença de uso pode ter sido adquirida. Qualquer que seja o preço comercial deste código, as empresas ignoraram durante demasiado tempo os custos sociais e de segurança.

2. O perigo oculto do código fantasma

O código de terceiros se presta ao desenvolvimento de sites e aplicativos altamente acessíveis. Embora estes ambientes sem código ou com pouco código ajudem a reduzir a barreira de entrada para empreendedores e amadores entusiastas, é essencial compreender os riscos. Os cibercriminosos estão mais do que dispostos a tirar vantagem de desenvolvedores ingênuos ou descuidados. Às vezes, não é a falta de competências que lhes permite infiltrar-se, mas a forte pressão para uma implantação rápida.

Os invasores agrupados sob a égide do Magecart aproveitam códigos de terceiros desde 2015. Este sindicato do crime depende do roubo de cartões de crédito digitais, roubados pela injeção secreta de código JavaScript em páginas de pagamento de comércio eletrônico. A Magecart semeou um rastro de destruição com apostas impressionantes: Ticketmaster, British Airways e inúmeras outras marcas online foram vítimas de seus ataques.

Dois ataques de grande repercussão ocorreram em 2020: a fabricante de roupas infantis Hanna Andersson e a varejista britânica Sweaty Betty foram os alvos. Acredita-se que ambos os ataques tenham girado em torno de complementos de sites aparentemente inofensivos. No entanto, escondidos nessas linhas de código, os invasores do Magecart adicionam algumas linhas principais de JavaScript.

Esse código de terceiros geralmente copia formulários de pagamento legítimos em um site de comércio eletrônico. No entanto, foram feitas mudanças cruciais – pequenas. Por exemplo, as informações de pagamento são enviadas secretamente para um servidor controlado pelo invasor. A transação em si ainda está autorizada, o que significa que os usuários finais ficam no escuro.

O ataque a Hanna Andersson passou despercebido durante várias semanas – embora tenha sido uma descoberta relativamente rápida, com outras vítimas permanecendo no escuro durante quase um ano. A maioria das vítimas só é alertada quando informações de cartão de crédito roubadas aparecem nos mercados da dark web.

O custo é significativo: Hanna Andersson foi condenada a pagar US$ 400 mil por danos a mais de 200 mil clientes; o custo exato para as vítimas individuais é mais difícil de determinar, mas roubar seu nome, endereço de entrega, endereço de cobrança e informações de cartão de pagamento permite que os invasores causem danos incríveis. Os ataques Magecart cresceram em popularidade durante a pandemia de Covid-19, registrando um aumento de 20%, enquanto o tempo médio de detecção atingiu 22 dias.

Magecart pode representar código malicioso de terceiros, mas mesmo código-fonte aberto testado pode causar acidentalmente um dos maiores problemas de segurança desta década. Log4j descreve uma biblioteca de log de código aberto que se tornou uma das peças mais importantes da arquitetura web, responsável por retransmitir informações vitais de log para a equipe de desenvolvimento e manutenção.

Em 2021, entretanto, descobriu-se que a biblioteca log4j era gravemente vulnerável à execução remota de código. Centenas de milhões de dispositivos correm sérios riscos, pois a falha também é relativamente simples de explorar.

Não é realista renunciar completamente ao código de terceiros. Mais de 60% dos sites do mundo são executados em servidores Apache e Nginx, e 90% dos gerentes de TI usam regularmente código-fonte aberto empresarial. Todo software moderno é construído a partir de componentes pré-existentes, e reconstruir essas funções do zero exigiria enormes investimentos de tempo e dinheiro para produzir até mesmo aplicativos relativamente simples.

3. Você não pode escapar impune de um patch.

Uma vez integrado a um aplicativo, o código de terceiros pode ser difícil de testar e ainda mais difícil de proteger. As correções dependem inteiramente dos desenvolvedores; Mesmo para desenvolvedores ativos e bem-intencionados, como aqueles que mantêm a funcionalidade log4j, as correções levam um tempo crítico.

Não tenha medo: uma solução de segurança abrangente pode oferecer diversas ferramentas para aplicar patches virtualmente e, em última análise, impedir os invasores. Uma dessas ferramentas é o Web Application Firewall (WAF). Ele fica entre o aplicativo e o usuário final, monitorando e filtrando o tráfego que passa. Os WAFs de próxima geração oferecem criação automática de políticas, bem como rápida propagação de regras, para expandir explicitamente a rede de segurança que o código de terceiros precisa.

Embora o WAF tradicional se concentre principalmente no monitoramento de conexões externas, o Web Application and API Protection (WAAP) descreve um conjunto de proteção mais abrangente. Ele incorpora a abordagem baseada em firewall para WAF, ao mesmo tempo que se concentra mais em APIs. Esses trechos de código fornecem acesso programático a diferentes aplicações e têm sido historicamente um grande ponto fraco nas defesas das organizações.

Por fim, a autoproteção de aplicativos em tempo de execução (RASP) oferece um próximo passo atraente em direção à proteção automatizada. Em vez de estar fora do código da aplicação, o RASP atua como um plugin, anexando-se ao interior da aplicação. Por meio da visão interna de um aplicativo, o RASP pode monitorar seus comportamentos e mapear logins e privilégios típicos que ocorrem nos bastidores. Uma vez estabelecido um comportamento de referência, o RASP pode então detectar automaticamente – e, mais importante, interromper – comportamentos suspeitos.

Com um conjunto proativo de medidas de correção virtual em vigor, sua segurança é capaz de acompanhar o DevOps, ao mesmo tempo que ajuda a negar a ameaça dos cibercriminosos e as ações judiciais resultantes.