Uma grande empresa resolveu montar um site de e-commerce. Contratou uma equipe para desenvolver o site, sobre um sistema já existente, instalou e colocou o sistema em produção, em um projeto que levou meses para ser finalizado. Menos de 24 horas após ter sido colocado no ar, o site foi invadido, com grandes perdas para a empresa, sobretudo de sua imagem perante os clientes. A Sereno foi acionada para identificar qual era o problema e apresentar uma solução. Devido ao caráter de urgência, o projeto foi feito em apenas uma semana. Identificamos 3 vulnerabilidades críticas (uma das quais foi identificada como tendo sido usada pelo invasor), 8 médias e 23 de baixa criticidade. Criamos, então, um plano de ação com 14 recomendações emergenciais, para recolocar o site no ar no mais curto espaço de tempo, e outras 23 ações de médio e longo prazos foram recomendadas. Após a implementação das correções emergenciais, realizamos uma revisão do trabalho para garantir a segurança do site, que foi novamente colocado no ar e não apresentou problemas de segurança até o presente momento.

Uma organização que movimenta milhões anualmente tinha por obrigação realizar eleições para seu Board. Para contenção de custos e visando aumentar a participação dos eleitores, optou por usar um sistema de votação via internet. Durante o processo aconteceu um problema: um dos grupos que disputavam a eleição começou a questionar sua segurança e validade. O desafio da Sereno era garantir a todos os participantes, de forma isenta, que o sistema era íntegro e não favoreceria nenhuma das candidaturas.

Realizamos uma análise de segurança completa e entregamos um relatório de avaliação de segurança totalmente fundamentado nas normas internacionais. Foram necessárias pequenas alterações na aplicação, de forma a cobrir alguns itens exigidos pelas normas, mas nada que impedisse o prosseguimento do pleito. Assim, com um documento de uma terceira parte produzido com uma avaliação fundamentada (e, portanto, confiável), os condutores do processo conseguiram realizar a eleição sem maiores problemas.

Uma renomada instituição financeira contratou o desenvolvimento de um sistema de grande porte para processamento financeiro. Como o sistema era muito complexo, foram chamadas várias fábricas de software para seu projeto e desenvolvimento. O projeto foi gerenciado por uma equipe da própria empresa, mas todo o controle dos fontes, da análise e do projeto era feito por terceiros. Garantir que o produto que estava sendo entregue pelas fábricas de software tinha o nível de segurança necessário a uma aplicação daquele porte, eis a tarefa da Sereno.

Afinal, qualquer brecha para ataque poderia causar enormes prejuízos financeiros e para a imagem da instituição, sendo a equipe gestora certamente responsabilizada pelo problema. O trabalho foi dividido em várias etapas, devido à complexidade do sistema, levando cerca de dois meses para ficar pronto. Ao final, identificamos dois problemas sérios além de diversos pontos onde a segurança precisava ser guarnecida. As recomendações foram incorporadas ao projeto, com um considerável ganho de segurança.

Uma instituição financeira necessitava analisar uma solução desenvolvida internamente que seria acessada pelo usuário final através da web. Esta solução tinha toda uma camada em plataforma baixa que recebia e transportava a informação até o mainframe, repositório final onde se processaria a informação. Um dos maiores problemas do negócio era a possibilidade de fraude. Então, fizemos a análise e observamos falhas em todos os segmentos da aplicação. Exemplificando: Na camada cliente, uma das falhas era na conexão entre Cliente Web e Servidor de Aplicação Web, que, mesmo utilizando certificado digital, possuía falhas que abriam um canal passível de utilização em uma tentativa de invasão objetiva.

Na camada intermediária, encontramos falhas em processos internos frágeis que poderiam ser explorados por código malicioso embutido ou agente externo. Na plataforma alta (mainframe), que recebia a informação para ser finalmente processada, encontramos falhas primárias de controle de acesso e de falta de registro de alterações.

Foi um mês de análise, tempo no qual os gestores perceberam que, embora existisse a excelência da solução de tecnologia para o negócio, além da preocupação no desenvolvimento, havia pequenos cuidados que não foram observados e que possibilitavam a um invasor externo determinado, ou a um agente interno hábil, explorar e obter ganhos efetivos, prejudicando a imagem da instituição e comprometendo o resultado do sistema.