Entre Setembro de 2022 e Março de 2023, a Ethiack testou, com as devidas autorizações, a segurança de cerca de 7.500 “activos digitais”, ou seja, servidores expostos na Internet e identificou mais de 17 mil vulnerabilidades de 400 tipos diferentes, sendo mais de 60% destes considerados impactantes e 12% com impacto “crítico”.
De acordo com André Baptista, cofundador da Ethiack, “os resultados obtidos com esta análise mostram que continua a ser relativamente fácil aceder aos sistemas de informação das empresas e que a detecção de ataques informáticos se encontra longe de ser rápida e eficaz. Isto, porque grande parte destas vulnerabilidades estão em activos esquecidos pelas empresas ou adormecidos, porque o projecto para o qual foi criado já foi descontinuado, mas a máquina continua lá. Daí a importância dos hackers éticos, que permitem detectar e mitigar problemas antes que tenham impacto sério ao nível da empresa ou instituição”.
Ainda no âmbito deste estudo, a Ethiack apurou que as vulnerabilidades mais detectadas são a RCE (Remote code execution), uma vulnerabilidade que permite a um atacante tomar conta de uma máquina/activo digital, a XSS (Cross-site scripting), uma vulnerabilidade que permite “injectar” scripts em websites e o SQL injection, vulnerabilidade que permite alterar bases de dados, bem como obter dados confidenciais. Isto para além dos Business logic errors detectados, que são falhas ou imperfeições na programação que permitem ao hacker tomar conta da aplicação e, por exemplo, mudar as regras, lógicas ou privilégios de decisão da app.
Particularmente relevante – e preocupante – entre as conclusões desta análise da Ethiack, é o tempo que as equipas de segurança internas (Blue Teams) levam a reagir para corrigir e/ou mitigar uma vulnerabilidade, uma resposta que, segundo este estudo, é demasiado lenta.
Na consulta à sua rede de parceiros, a Ethiack concluiu ainda que a maioria considera necessário que o hacking ético tenha a sua actividade regulada e veem com muito interesse ser criado um enquadramento legal que reconheça esta profissão, uma vez que a principal motivação destes profissionais é o desafio intelectual que o hacking ético representa.
Se quer ler notícias como esta, subscreva gratuitamente a newsletter da Security Magazine.