Revista Eletrônica da Faculdade Metodista Granbery http://re.granbery.edu.br - ISSN 1981 0377Curso de Sistemas de Informação - N. 6, JAN/JUN 2009

WEB 2.0 E SUAS VULNERABILIDADES

Carla da Silva Teixeira * Jorge Rafael Hara Moreira **

Patrícia Lima Quintão ***Luiz Guilherme da Silva Probst****

RESUMO

Os aplicativos da Web sofrem mudanças significativas com a Web 2.0, em lugar dos usuários simplesmente visualizarem informações na Web em páginas estáticas, agora eles podem: publicar conteúdos, estabelecer colaboração, combinar dados e serviços de várias formas e fontes, criar experiências e utilizar a inteligência humana para converter cada vez mais informação em conhecimento. Este artigo mostra a utilização da tecnologia Web 2.0, cada vez mais presente nas empresas, agregando-se aos processos de negócio. O emprego de segurança nesta tecnologia torna-se imprescindível para a continuação das atividades empresariais.

Palavras-chave: Web 2.0, Segurança da Informação, Vulnerabilidades.

ABSTRACT

Web applications suffer significant changes, instead of users simply view information on the web pages, now they can: publish content, establish collaboration, combining data and services in various forms and sources, create experiences and use human intelligence to convert more information into knowledge. This article shows the use of Web 2.0 technology, increasingly in the companies, adding up to the business processes. The use of safety procedures becomes essential for the continuation of business activities.

Key-words: Web 2.0, Security office, Vulnerabilities

* Graduado em Sistemas de Informação pela Faculdade Metodista Granbery de Juiz deFora – MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery – MG; analista pelo CAEd/UFJF. E-mail: csteixeir@gmail.com

** Graduado em Sistemas de Informação pelo Centro de Ensino Superior de Juiz de Fora MG; pós-graduando em Segurança da Informação pela Faculdade Metodista Granbery – MG. E-mail: rafael.hara@gmail.com

*** Mestre em Engenharia de Sistemas e Computação pela COPPE/UFRJ; Especialista em Gerência de Informática pela Faculdade Machado Sobrinho; Coordenadora pedagógica e professora do curso de Pós-Graduação em Segurança da Informação da FMG; Coordenadora de Segurança da Informação na Prefeitura de Juiz de Fora. E-mail: pquintao@granbery.edu.br.

**** Graduado em Administração pela Universidade Federal de Juiz de Fora – MG; pós-graduando em Gestão Financeira pelo Instituto Brasileiro de Mercado de Capitais - IBMEC – MG; assistente administrativo II pelo CAEd/UFJF. E-mail: probst@oi.com.br

2

1. INTRODUÇÃOO avanço da Internet no mundo globalizado tem gerado uma revolução na

maneira de trabalho e convívio social entre seus usuários e redes corporativas. As

diversas formas de comunicação e conhecimento, que podem ser adquiridos através

da Internet, melhoram de forma significativa o desempenho e conhecimento dos

usuários de uma instituição.

Tem-se, hoje, agregado a todo avanço ocorrido na Internet, a Web 2.0,

que consiste em uma nova forma de tecnologia online, sendo uma segunda geração

da Web 1.0, trazendo novos conceitos e formas de troca de informação e

colaboração entre os internautas.

Os serviços relacionados à Web 2.0 têm potencializado processos de

trabalho coletivo, produção e circulação de informações, e até mesmo troca afetiva e

de construção social de conhecimento com o apoio da informática. Na Web 2.0 o

conteúdo fica mais dinâmico e com isso a sua publicação mais flexível, qualquer

pessoa pode publicar ou melhorar a qualidade de determinado conteúdo

(COMPUTERWORLD, 2007).

Tendo-se em vista que a utilização da tecnologia Web 2.0 está cada vez

mais presente no ambiente organizacional, agregada no desenvolvimento dos

processos de negócio, este artigo tem como objetivo mostrar serviços e ferramentas,

analisando os impactos, as ameaças e as vulnerabilidades presentes nas empresas

que utilizam a Web 2.0, para evitar um impacto negativo aos negócios, motivados

por incidentes de segurança.

Nesse artigo procura-se destacar, inicialmente, as principais

características da Web 2.0. Em seguida, são destacadas as vulnerabilidades e

principais ataques que podem afetar o ambiente das empresas. As duas últimas

seções destacam, respectivamente, as considerações finais do trabalho e

referências bibliográficas utilizadas.

A metodologia empregada na elaboração deste trabalho foi constituída

por pesquisa bibliográfica nacional e internacional na qual foram coletadas

informações de livros, revistas especializadas e teses.

3

2. WEB 2.0 NAS REDES CORPORATIVASA “Web 2.0” começou a ganhar destaque com a primeira conferência de

brainstorming, sobre Web 2.0 em 2004 e a partir de um artigo de Tim O’Reilly,

publicado em 2005 (O’REILLY,2004). O´Reilly (2005) cunhou a expressão Web 2.0

para designar um movimento online que contemplava sites e serviços que

propunham uma interação maior entre usuários e conteúdo online. No artigo

publicado em 2005, o autor apresenta possibilidades e competências centrais de

empreendimentos baseados na Web 2.0.

A Web 2.0 é caracterizada pela intensificação da participação e do efeito

rede. Fala-se em usuários mais ativos e em utilização da inteligência coletiva. O que

caracteriza essa nova Web é a existência de serviços e não de pacotes fechados de

software, sua arquitetura é edificada sob a cooperação, os dados podem ser

transformados (O’REILLY,2004).

Nos últimos anos surge uma nova geração de serviços online, valorizando

a participação dos usuários. A tecnologia Web 2.0 é baseada em conhecimento,

tendo como finalidade tornar os ambientes online mais dinâmicos, através da

colaboração dos usuários.

Esta tecnologia é constantemente utilizada nas empresas, que são alvos

de diversas ameaças que circulam pela Internet, com isso torna-se preocupante a

segurança da informação que trafega pela Web 2.0.

As soluções de redes sociais (Web 2.0) em redes corporativas

representam novas possibilidades de produzir e multiplicar o capital intelectual e

humano, com enorme redução de custos. Gartner (2007) afirma que não existe uma

forma que elimine todos os riscos de perda de informação, é importante e

necessário reavaliar as ferramentas, e as estratégias que envolvem análise,

detecção e defesa de segurança da informação, para utilizar tecnologia da Web 2.0,

com segurança.

4

3. SERVIÇOS RELACIONADOS À WEB 2.0De acordo com a pesquisa exploratória realizada, existem vários serviços

e ferramentas Web 2.0 que auxiliam o usuário no seu dia-a-dia, facilitando e

contribuindo com o intelectual humano. Os principais são:

3.1 WIKIPÉDIAÉ uma enciclopédia online, colaborativa e escrita internacionalmente por

muitas pessoas diferentes. Os artigos publicados podem ser transcritos, modificados

e ampliados, preservando os direitos de cópias e suas modificações. Essa

ferramenta tem o foco no conteúdo, na colaboração e no compartilhamento do

conhecimento intelectual de cada usuário.

Na Figura 1 mostra-se o site do Wikipédia.

Figura 1. Site Wikipédia (WIKIPEDIA, 2009)

3.2 BLOG OU WEBLOG É uma página Web que pode ser composta por pequenos parágrafos,

conteúdos e temas, e mostra uma infinidade de assuntos tais como: links,

fotografias, diários, artigos, notícias, poemas, ideias, pode-se dizer tudo que a

imaginação do usuário permitir (BLOGGER BRASIL, 2009).

5

O blog pode ser usado também como as mensagens instantâneas, o

usuário escreve sobre qualquer assunto e todos que visitam o blog compartilham e

agregam conhecimento do tema exposto.

Uma grande parte dessa ferramenta é pessoal, dividindo seus

conhecimentos e até mesmo seus sentimentos e há também pessoas que formam

um grupo e todos inserem ideias e atualizam as informações contidas no blog.

Existem os voltados para divertimento e trabalho, o que hoje já é usado por várias

empresas no Brasil, como exemplo o banco HSBC. Os blogs permitem às famílias,

grupos de trabalho e empresas se comunicarem de forma rápida, simples e

organizada, além das formas já conhecidas tais como e-mails e grupo de discussão.

Qualquer usuário pode criar seu próprio blog, sendo familiar ou para equipe de

trabalho, utilizando sempre a criatividade e inteligência coletiva e assim trocando

informação seja ela foto da família ou discussão da equipe de trabalho, conforme

Figura 2 (BLOGGER BRASIL, 2009).

Figura 2. Site Blog (FLÁVIO ALEXANDRE, 2009)

3.3 FLICK

Possibilita a publicação de álbuns digitais. A ferramenta possui serviços

de localização espacial, assim as fotos podem ser localizadas em mapas por

imagens de satélite, conforme visto na Figura 3 (FLICKR, 2009).

6

Figura 3. Site Flickr (FLICKR, 2009)

3.4 YOUTUBE

Permite aos usuários compartilhar e postar vídeos, áudios, sejam suas

criações, propagandas, paródias ou lances esportivos.

Diariamente são postados milhares de filmes (vide Figura 4), curta-

metragem de filmagens caseiras, familiares e os clássicos do cinema nacional ou

internacional (IDG NOW, 2008).

Segundo o IDG now (2008), o YouTube é um dos sites que mais cresceu

na Internet brasileira, recebendo mais visitas do que o Google.

Figura 4. Site You Tube (YOUTUBE 2009)

7

3.5MOODLE

É uma ferramenta livre, utilizada para produção e gerenciamento de

atividades educacionais, sendo baseada na Internet ou redes sociais. Já disponível

em 34 idiomas, funciona em várias plataformas Unix, Linux, Windows, Mac Os X,

Netware e para sistemas que suporte a linguagem PHP, portanto pode incluir uma

grande massa de provedores de hospedagem. Esta ferramenta conforme Figura 5 é

composta por fóruns sala de bate papo, testes, pesquisas de opinião, coletando e

revisando tarefas (MOODLE, 2008).

Figura 5. Ambiente Moodle (PGPE. GRANBERY, 2009)

3.6ORKUT

É uma rede social que ajuda os usuários a manter relacionamentos

existentes mesmo à distância e estabelecer novas amizades. Esta ferramenta (vide

Figura 6) facilita com que as pessoas compartilhem seus hobbies e interesses,

encontrem relacionamentos afetivos, e ainda estabeleçam novos contatos de

trabalho, também pode criar e participar de universo de comunidades online para

discutir eventos (INFO, 2008).

8

Figura 6. Orkut (ORKUT, 2009)

4. WEB 2.0 – O DESAFIO DA SEGURANÇA EM REDES DE INFORMAÇÕES

É inegável que a Web 2.0 trouxe diversas vantagens e benefícios aos

internautas e às corporações, mas ao mesmo tempo em que são encontrados

diversos benefícios na adoção desta tecnologia como forma de interação e

colaboração entre os usuários da Web, muitas vulnerabilidades foram descobertas

nesses ambientes, sendo exploradas por pessoas mal-intencionadas, que utilizam

técnicas de programações e muita criatividade para aproveitar das brechas de

segurança deixadas nas aplicações.

Esta tecnologia tem sido alvo de constantes explorações devido a

diversos fatores que facilitam e incentivam a prática de atividades maliciosas, como:

• um grande número de colaboradores;

• permissão de inserção de frases/mensagens em caixas de textos que

são carregados para o servidor Web;

• diversas aplicações vulneráveis e sem gerencia de segurança;

• servidores Web desatualizados;

• inserção de informações pessoais em sites de relacionamentos;

• usuários mal informados.

9

Crackers 1diariamente procuram por vulnerabilidades em navegadores,

websites, firewalls2 e em diversos recursos computacionais a fim de encontrar

alguma falha de segurança para realizar diversos tipos de atividades maliciosas.

Segundo Morais (2007), os serviços Web 2.0 correspondem a mais de

80% dos 20 sites mais visitados na Internet, sendo importante tomar certos cuidados

com a utilização desses recursos.

Podem ser encontrados diversos problemas na utilização dos recursos

propostos na Web 2.0. Os principais são listados a seguir.

4.1 ALTA EXPOSIÇÃO DE CONTEÚDOS PESSOAISPode ocasionar ataques de engenharia social3 e outras diversas ações

maliciosas, tendo-se em vista que as informações são disponibilizadas geralmente

para todos os usuários que utilizam o serviço.

Nota-se que apesar de muitos serviços estarem trabalhando de forma

árdua para implantar mecanismos de segurança de bloqueio ou restrição das

informações postadas pelos usuários, muitas atividades criminosas ou maliciosas

ainda são postas em prática.

As informações publicadas são catalogadas a fim de conhecer mais sobre

seus utilizadores o que pode ocasionar em ações maliciosas.

4.2 DISSEMINAÇÃO DE SPAM

Tem-se verificado um aumento de mensagens indesejadas em massa

enviadas por perfis de spammers4 ou mesmo por perfis de utilizadores de confiança

que sofreram ataques de vírus e worms5 nos seus perfis.

1 Cracker é o termo usado para designar quem pratica a quebra (ou cracking) de um sistema de segurança, de forma ilegal ou sem ética (CARTILHA SEGURANÇA DA INFORMAÇÃO, 2008).2 Firewall é uma combinação de hardware e software que isola um determinado host ou rede. Podendo assim ter a possibilidade de autenticar e analisar todo tráfego (NAKAMURA, 2007). 3 Engenharia Social é um termo utilizado para designar alguém que abusa da ingenuidade ou da confiança do usuário, para obter informações que podem ser utilizadas para ter acesso não autorizado a computadores ou informações (CARTILHA SEGURANÇA DA INFORMAÇÃO, 2008).4 Spammers: Autores e disseminadores de mensagens indesejadas em massas, também denominadas de spams (CARTILHA SEGURANÇA DA INFORMAÇÃO, 2008).5 Worms são programas capazes de se propagar automaticamente através de redes, enviando cópias de si mesmo de computador para computador (CERT.BR, 2009).

10

4.3 PRÁTICAS DE PHISHING6

Através de falsas mensagens postadas em fóruns, sites de

relacionamentos, blogs, e outros serviços Web 2.0, os atacantes conseguem

disseminar códigos maliciosos para roubo de informações pessoais dos internautas.

A Figura 7 mostra um exemplo de mensagens maliciosas que são

constantemente disseminadas no Orkut, por perfis contaminados por vírus ou perfis

falsos. As falsas mensagens geralmente possuem um conteúdo que despertam a

curiosidade do usuário, levando-o a clicar em links maliciosos.

Figura 7. Prática de Phishing no Orkut (ORKUT, 2009)

4.4 CALÚNIAS POR ROUBO DE IDENTIDADEÉ freqüente a criação de perfis falsos, em nome de personalidades

públicas, pessoas conhecidas numa determinada rede ou grupo para denegrir a sua

identidade.

4.5 ASSÉDIO MORAL E SEXUALAtravés destes serviços é possível que um usuário seja vítima de assédio,

tanto moral quanto sexual, pois o perseguidor tem várias informações sobre a vítima.

6 Phishing é um tipo de fraude que se dá através do envio de mensagem não solicitada, que se passa por comunicação de uma instituição conhecida, como um banco, empresa ou site popular, e que procura induzir o acesso a páginas fraudulentas (falsificadas), projetadas para furtar dados pessoais e financeiros de usuários (CERT.BR,2009).

11

Fotos e vídeos são facilmente postados na Internet em vários serviços da Web 2.0,

tornando muito perigoso, por exemplo, a ação de pedófilos.

4.6 BULLYING

Um usuário pode ser magoado ou humilhado publicamente por uma

pessoa, comprometendo sua integridade perante diversas pessoas que utilizam os

serviços de compartilhamento de informações, sendo um comportamento mais

comum entre crianças e adolescentes. As agressões eletrônicas na forma de mensagens de texto e a disseminação online de fofocas nos sites de relacionamento crescem cada vez mais. Pesquisadores americanos acreditam que entre 9% e 34% dos jovens são vítimas do chamado cyber-bullie, a fofoca virtual. E mais: um em cada cinco jovens nos Estados Unidos já praticou bullying usando mídia digital, segundo uma pesquisa do Journal of Adolescent Health” (ARAUJO, 2009).

4.7 ESPIONAGEM INDUSTRIALAtravés destes meios, das suas vulnerabilidades e de informação

publicada pelos usuários é possível a espionagem industrial.

Todos os problemas descritos podem ser enquadrados como crimes

digitais, onde segundo Argolo (2005) é possível encontrar três modalidades:

• crime de informática puro: corresponde a toda e qualquer conduta que

vise exclusivamente violar um sistema de computador;

• crime de informática misto: todas as ações em que o uso do sistema

de computador é condição essencial para efetivação de um crime;

• crime de informática comum: um sistema computacional é uma mera

ferramenta para cometer um delito já tipificado na lei penal.

Nota-se que esses tipos de crimes enquadram os diversos casos de

atividades maliciosas utilizando o ambiente Web 2.0, apesar do Brasil ainda não ter

uma lei especifica para crimes digitais, a área jurídica utiliza o Código Penal

brasileiro para aplicar aos crimes que envolvam sistemas computacionais.

12

5. ATAQUES A AMBIENTES WEB 2.0Os serviços da Web 2.0 tem sido de extrema importância na rede mundial

de computadores, sendo utilizada cada vez mais pelos internautas. Toda essa

popularidade da Web 2.0 levou os crackers a cada vez mais procurarem

vulnerabilidades nesses serviços para praticarem atividades maliciosas através da

Internet.

Diversos ataques e crimes digitais são reportados diariamente aos órgãos

regulamentadores dos acessos a Internet. A maioria deles ligados a fraude, como

mostra a Figura 8, seja através de phishing scam, hijacking sessions ou outras

técnicas que possibilitem enganar o usuário, levando-o a sites maliciosos ou para se

apossar de suas informações.

Figura 8. Incidentes Reportados ao CERT.br (CERT.BR, 2009)

É comum encontrar fóruns de discussão online, sistemas para

compartilhamento de conhecimento, blogs e outros serviços da Web 2.0, alvos

desses crimes.

Os worms vêm crescendo também na vertente das ameaças à Web 2.0,

contaminando, por exemplo, mais de 1 milhão de usuários do MySpace.com no

período de 20 horas (MCMILLAN, 2007).

As vulnerabilidades nas aplicações e serviços são descobertas e

exploradas por diversas ações diferentes como a exemplo dos exploits, que são

criados para explorar vulnerabilidades existentes em sistemas operacionais e

aplicações.

É extremamente fácil encontrar exploits prontos na Internet para atacar

um serviço Web específico. Como a exemplo do site http://www.mil0worm.com (vide

13

Figura 9), o que leva apenas alguns minutos para descobrir diversos exploits prontos

para ataque a diversos serviços da Web 2.0.

Figura 9. Site http://www.mil0worm.com (MCMILLAN, 2007)

Script Kiddies7 ficam procurando constantemente exploits, técnicas de

invasão e exploração prontas, disseminadas na Internet, para tentar atingir seu

objetivo. Outro site bastante explorado por esses pseudo-hackers é o

Packetstormsecurity.org, em que é possível encontrar diversos tipos de ataques,

ferramentas e técnicas aos mais variados serviços da Web 2.0.

5.1 TÉCNICAS UTILIZADAS EM ATAQUES CONTRA APLICAÇÕES WEB

Os ataques de hoje são baseados em vulnerabilidades típicas de

aplicações Web complexas (THOMASON e COSTA, 2007).

Gartner (2007) destaca que 75% dos ataques acontecem na camada de

aplicação, com isso as aplicações Web são o foco número um dos hackers.

As principais técnicas de ataques direcionados as aplicações Web

2.0 são as seguintes:

• cross-site scripting;

• SQL Injection;

• code injection;

• cross-site request forgeries (CSRF).

7 script kiddie são usuários sem grandes conhecimentos técnicos, que utilizam ferramentas ou scripts prontos de invasão disseminados na Internet para invadir sistemas que possuem falhas de segurança já conhecidas (CERT.BR).

14

5.2 CROSS SITE SCRIPTING (XSS)

O Cross Site Scripting aproveita vulnerabilidades em aplicações Web,

para inserir código, geralmente javascript, de forma a realizar atividades maliciosas.

Segundo Chen (2007), Cross site scripting é uma exploração de

segurança no qual um atacante insere códigos maliciosos em um link que parece ser

uma fonte confiável. Quando alguém clica no link, o script incorporado é

apresentado como parte do cliente da Web do pedido e pode ser executado no

computador do usuário, permitindo que o atacante exerça diversas atividades

maliciosas.

De acordo com Grangeia (2008), o XSS é um ataque que existe há mais

de 10 anos mas que tem hoje em dia uma importância muito elevada no contexto da

Web 2.0. Cross Site Scripting (ou XSS) é um dos ataques Web mais comuns na camada de aplicação. O XSS geralmente embute scripts em uma página Web na qual são executadas do lado do cliente (no navegador do usuário) e não no do lado do servidor (ACCUNETIX, 2008).

Segundo GROSSMAN et al (2007), com o surgimento da linguagem de

programação Asynchronous JavaScript e XML (AJAX) os hackers descobriram um

mundo de possibilidades para exploração de vulnerabilidades em páginas Web.

A Figura 10 mostra como é realizado o ataque do tipo XSS.

15

Figura 10. Exemplo de ataque XSS (IN CONFERENCE, 2008)

Ataques XSS são geralmente utilizados para atingir os seguintes

resultados maliciosos:

• roubar informações pessoais;

• acessar informações sensíveis ou restritas;

• obter acesso livre a conteúdos pagos na Web;

• espionar sobre hábitos de navegação do internauta na Web;

• alterar funcionalidades do navegador Web;

• defacement - desfiguração de aplicações Web.

Diversos incidentes de segurança já aconteceram a partir deste tipo de ataque.

Criminosos brasileiros conseguiram descobrir um problema em uma página do Bradesco que permitia que a mesma fosse “alterada” por meio de links, possibilitando o uso do domínio do banco para todo tipo de atividade maliciosa (ASSOLINI, 2008).

5.3 SQL INJECTION

SQL Injection é a técnica utilizada para explorar vulnerabilidades em

aplicações Web que utilizam dados fornecidos pelo usuário sem antes tratar

caracteres que podem oferecer algum perigo.

Segundo Accunetix (2008), o ataque por SQL Injection é um dos muitos

mecanismos utilizados na Web por hackers para roubar dados de organizações,

sendo uma das mais comuns técnicas de ataques na camada de aplicação utilizadas

hoje em dia.

16

A ideia é fazer com que a aplicação alvo rode um código SQL que não era

inicialmente previsto pelo programador. Apesar de ser um problema de simples

correção, existe um grande número de websites conectados a Internet que são

vulneráveis a esse tipo de ataque.

A Figura 11 apresenta um exemplo de ataque por sql injection, em

entradas de formulários de autenticação de um sistema computacional.

Figura 11. Exemplo de ataque por Sql Injection (ASSAD, 2008).

Existem diversas combinações que podem ser utilizadas através de

comandos SQL, como tentativa de burlar o sistema de autenticação, ou como forma

de obter dados sensíveis de um banco de dados.

Para verificar a validade do par login/senha, verifica-se se a consulta

retorna algum registro do banco de dados. Caso nenhum registro seja retornado,

temos que o usuário não esta cadastrado ou a senha é incorreta.

5.4 CODE INJECTIONConsiste em executar um código arbitrário em um servidor Web.

Um ataque implementado com sucesso permite ao atacante passagem pelo processo de autenticação, execução de comandos no servidor, visualização e gravação de dados arbitrários em arquivos, entre outras coisas.

Qualquer linguagem de programação pode ser utilizada, desde que a aplicação junto com a configuração do servidor Web estejam vulneráveis.

17

5.5 CROSS SITE REQUEST FORGERY (CSRF)Cross site request forgery é um ataque muito perigoso que consiste em

forçar o navegador previamente logado da vítima a enviar uma requisição para uma

aplicação Web vulnerável, que realiza a ação desejada em nome da vítima.

A Figura 12 ilustra esse tipo de ataque.

Figura 12. Exemplo de ataque de CSRF (HANDY, 2009)

6 FERRAMENTAS AUXILIARESA facilidade e exposição de ferramentas para ataques na Internet,

manuais de técnicas de invasão e discussões livres sobre assuntos ligados ao

submundo hacker favorecem o crescimento no índice de incidentes que são

reportados aos órgãos fiscalizadores das ações na Internet.

Existem ferramentas como o Acunetix que são utilizadas para realizar

varreduras nos sites remotos à procura de vulnerabilidades a XSS, SQL Injection,

code execution e outras falhas de segurança (vide figura 13).

18

Figura 13. Possibilidades de testes de segurança do software (ACCUNETIX, 2008)

Segundo Accunetix (2008), através da ferramenta Accunetix Web

Vulnerability Scanner (WVS) é possível automatizar testes de segurança e realizar

auditorias em aplicativos web através da verificação de vulnerabilidades que podem

ser exploradas por atividades hacker.

Existem também diversos plugins8 para o navegador web Mozilla Firefox

que podem ser adicionados para auxiliar na detecção de diversas vulnerabilidades.

A exemplos dos plugins XSS Inject me (https://addons.mozilla.org/pt-

BR/firefox/addon/7598) e do SQL Inject me (https://addons.mozilla.org/pt-BR/firefox/

addon/7597).

8 Plugin: é um programa que adiciona funções ou serviços a outros programas (CERT.BR, 2009).

19

Figura 14. Plugins adicionais do navegador Web Mozilla Firefox. XSS Inject me e SQL Inject me

(GOOGLE, 2009)

Este plugins auxiliam os desenvolvedores e administradores de serviços

Web a testarem suas aplicações contra aos diversos tipos de ataques existentes

hoje na Internet, prevenindo-se de diversas atividades maliciosas que são praticas

na rede mundial de computadores.

7. CONSIDERAÇÕES FINAIS

O presente artigo foi construído com a premissa de fornecer subsídios à

discussão de um tema tão amplo e multifacetado quanto a Web 2.0. A amplitude

desta nova maneira de interação aborda desde a construção de diferentes formas de

interações sociais, seguindo assim uma vertente sociológica, até o próprio processo

de construção de conhecimento, adotando assim uma vertente epistemológica.

Dentro desta gama diversificada de possibilidades este trabalho foi centrado

no impacto da Web 2.0 sobre o ambiente organizacional. Durante sua construção,

foi demonstrado como a mesma é capaz de transformar as empresas que a adotam.

Essa transformação ocorre a partir do momento em que, empregando conteúdos

diversos com sucesso, absorvem o conhecimento dos usuários que utilizam os seus

serviços ao mesmo tempo em que postam estes conhecimentos.

Entretanto, é demonstrado que uma das maiores vantagens desta nova

forma de interação também é seu maior ponto fraco. Esta característica, que

apresenta uma ambigüidade tão acentuada, é a flexibilidade do processo interativo.

Esta flexibilidade permite não só a criação de conhecimento e diferenciais

competitivos, como também aumenta exponencialmente a vulnerabilidade à

exploração das informações para fins não justificáveis.

20

Esta situação é bem contextualizada através dos problemas encontrados na

tentativa de formulação de diretrizes e políticas de utilização desta nova tecnologia.

A criação destas políticas culmina na proteção da rede de informações corporativa

(e também pessoais) como um todo, que necessita de ferramentas específicas para

proteger a informação, entretanto estas ferramentas devem ser eficientes o

suficiente para evitar abusos, mas flexíveis o suficiente para não impedir a

construção de novas formas de conhecimento.

Por fim, destaca-se que as discussões levantadas aqui têm por objetivo criar

questionamentos sobre a amplitude, consistência, segurança e aplicação de um

novo modelo de trocas de informações que por sua característica dinâmica deve ser

sempre questionado e avaliado para que abusos cometidos sejam evitados antes

que causem prejuízos.

21

8. REFERÊNCIAS BIBLIOGRÁFICAS

ACCUNETIX. Cross Site Scripting - XSS - The Underestimated Exploit 2008. Disponível em: <http://www.acunetix.com/websitesecurity/xss.htm.> Acesso em: 28/02/2009.

ARAUJO, Cel. Cyber-bullying - Agressões entre jovens crescem em ferramentas como e-mail e SMS. 2009. Disponível em: <http://www.cmpa.tche.br/index2.php?option=com_content&do_pdf=1&id=1271>. Acesso em: 28/02/2009

ARGOLO, Frederico Henrique Böhm. Análise Forense em sistemas GNU/Linux. TCC-UFRJ, 2005.

ASSOLINI, Fabio. Falha no site do Bradesco permitiu ataque XSS 2008. Disponível em: <http://www.linhadefensiva.org/2008/07/bradesco-pesquisa-inst-xss/>. Acesso em: 15/03/2009.

BLOGGER BRASIL. O Blogger é a ferramenta que você precisa para publicar seus pensamentos na Web. Disponível em <http://blogger.globo.com> Acesso em: 20/02/2009.

BLOGGER Flávio Alexandre. Disponível em: <http://www.falexreis.blogspot.com/>. Acesso em: 18/03/2009.

CARTILHA SEGURANÇA DA INFORMAÇÃO. Projeto Rede Segura PJF. 2008.

CERT.br. Centro de Estudos, Resposta e Tratamento de Incidentes de Segurança no Brasil. Disponível em: <http://www.cert.br/>. Acesso em: mai. 2009.

CHEN, Dong. Exploiting Web Applications. Bowling Green State University 2007.

COMPUTERWORD. Security: Learn How to Live in the World of Web 2.0. Disponível em: <http://www.computerworld.com/action/googleSearch>. Acesso em: 05/09/2008.___________. Seis soluções de segurança corporativas indispensáveis (e grátis). Disponível em <http://www.computerworld.com.br>. Acesso em 27/02/2009.

FLICKR. What is Flicker? Disponível em: <www.flickr.com>. Acesso em: 27/02/2009.

GARTNER, Ivan Ricardo. Guarde Segredos Corporativos no Mundo da Web 2.0. Disponível em: <http:\\www.computerworld.uol.com.br>. Acesso em: 10/09/2008.

GRANGEIA, Luis. Segurança na Web 2.0 Browser (in)security. SysValue S.A. 2008.

22

GROSSMAN ET AL. XSS Attacks Cross Site Scripting Exploits and Defense. Syngress, 2007.

HANDY, Alex. Beware the CSRF SDTimes Software Development. 2009.

IDG NOW!. Gestores de TI no Brasil Usam Redes Sociais na Web 2.0. Disponível em: <http://www.idgnow.com.br>. Acesso em: 20/02/2009.

INFO. Redes Sociais. Edição 268. Junho 2008.

_____. Google. Edição 271. Setembro 2008.

MARINHO, Marcelo Mendes e LAHR, Thiago Canozzo. (IN) Segurança em Aplicações Web. IBM Development Conference. 2008.

MOODLE. O que é moodle? Disponível em: <http://www.moodle.org.br>. Acesso em: 25/02/2009.

________. Segurança da Informação. 2009. Disponível em: <http://moodle.pgpe.granbery.edu.br>. Acesso em 25/02/2009.

MORAIS, Luís. Cuidados com Alojamento de Conteúdos em Entidades Terceiras. CERT.BR, 2007.

NAKAMURA, E.T.; de GEUS, P.L. Segurança de Redes em Ambientes Cooperativos. São Paulo: Novatec, 2007.

ORKUT, Carla Teixeira. 2009 Disponível em: <www.orkut.com>. Acesso em 22/05/2009.

O'REILLY, Tim. What Is Web 2.0. Design Patterns and Business Models for the Next Generation of Software. 2004. Disponível em: <http://www.oreillynet.com/pub/a/oreilly/tim/news/2005/09/30/what-isweb-20.html>. Acesso em: 07/08/2008.

__________. Web 2.0: Compact Definition? 2005 Disponível em: <http://radar.oreilly.com/archives/2005/10/web_20_compact_definition.html>. Acesso em: 18/08/2008.

THOMASON, David e COSTA, Durval. Segurança das Aplicações web. Disponível em: <www.risco.org.br>. Acesso em: 15/12/2008.

WIKIPÉDIA. O que é Wikipédia? Disponível em: < www.wikipedia.org>. Acesso em: 06/02/2009.

YOUTUBE. Video mais populares. 2009. Disponível em: <http://www.youtube.com/>. Acesso em: 16/03/2009.

23