Por mais que uma aplicação seja dita livre de ataques, esta não é livre de vulnerabilidades. Vulnerabilidades são intrínsecas a sistemas de TI e demandam uma preocupação extra, mas não são motivo para pânico.

Diferente de um ataque, a simples descoberta de uma vulnerabilidade não causa automaticamente o sucesso do cracker, que é a pessoa que faz uso dessas vulnerabilidades para benefício próprio.

Uma vulnerabilidade é um buraco ou fraqueza em uma aplicação, fruto de um descuido ou bug de implementação que permite que alguém de má índole utilize o aplicativo de forma maliciosa.

Vulnerabilidade e segurança

Um exemplo dessas vulnerabilidades ocorreu em 2014 com a iCloud quando, por meio de uma suposta vulnerabilidade encontrada no sistema de autenticação, ocorreu um ataque que tornou público dados presentes na nuvem de diversas pessoas.

Existem inúmeras vulnerabilidades que podem estar presentes em um sistema. Resumimos algumas delas, que estão a seguir:

Buffer Overflow (Estouro de buffer ou transbordamento de dados)

É a forma mais conhecida de vulnerabilidade, mas que não é mais encontrada tão frequentemente. Para explicar melhor, buffer é uma variável (array ou vetor), um local na memória. O buffer overflow é uma condição existente em softwares que ocorre quando um programa tenta colocar mais dados em buffer que esse buffer poder suportar.

Ao inserir dados fora dos limites da alocação de memória, os caracteres extras sobrescrevem a memória localizada após o buffer, corrompendo dados, causando erros ou ainda execução de códigos maliciosos.

Portabilidade

Implementações inconsistentes entre diferentes sistemas operacionais ou versões de sistemas operacionais podem ser fontes de vulnerabilidades. Diferenças em como parâmetros são interpretados em questões de segurança podem não estar bem definidos conforme ocorre a mudança de plataformas e versões. É uma vulnerabilidade que ocorre frequentemente em aplicativos na nuvem (SaaS), já que são utilizados por diversos dispositivos e versões de sistemas operacionais.

Cross Site Scripting (XSS)

Vulnerabilidade que atinge servidores web, de aplicativos e ambientes, sendo um dos mais comuns atualmente. Permite ataques por injeção, por não realizar uma validação criteriosa, aceitando scripts de terceiros. É um portal de entrada/saída situado em zona privilegiada para possíveis códigos arbitrários que são executados conforme as páginas ou aplicativos são acessados.

Armazenamento de senhas em formatos recuperáveis

Armazenar senhas e logins em formatos que podem ser recuperados é uma vulnerabilidade utilizado por crackers que, ao conseguir acessar o sistema como administrador, podem recuperar diretamente as senhas e as utilizar para acessar contas.

Um exemplo dessa vulnerabilidade ocorreu no ano de 2014 com o eBay. A empresa mencionou que diversas senhas criptografadas de seus clientes foram quebradas, juntamente com dados pessoais de cadastro. O mesmo aconteceu com o Kmar, onde dados de cartão de crédito e débito foram acessados após o ataque se aproveitando de uma vulnerabilidade.

Vazamento de informação

Revelar informação de sistema ou de debugging pode fornecer conhecimento necessário para os crackers realizarem ataques. Isso acontece quando tal informação deixa a aplicação por meio de meios da interceptação de logs. Agora com o marco civil da internet aprovado, todo cuidado deve ser empregado, já que a empresa que se torna responsável pelo armazenamento das informações solicitadas ao clientes.