Google lança Cloud Security Scanner para encontrar falhas

A Cloud Security Scanner da Google quer ajudar os programadores a encontrar vulnerabilidades nos sistemas, com especial enfoque nos sites e aplicações que desenvolvem. Esta ferramenta foi desenvolvida a pensar nos developers que utilizam o Google App Engine.

A Google anunciou o lançamento de uma ferramenta que pretende solucionar os eventuais problemas de segurança que possam ocorrer nas aplicações desenvolvidas na Google App Engine, uma plataforma que permite criar e hospedar apps.

A Cloud Security Scanner está, por agora, disponível em versão beta e funciona precisamente como um scanner que analisa as aplicações e revela erros ou falhas de segurança que possam existir. Os programadores poderão ficar a par de vulnerabilidades nas suas criações, nomeadamente as que dizem respeito a cross-site scripting, comum em aplicações online e que permite ao hacker introduzir códigos através do lado do utilizador, e a mixed content, páginas que são apenas parcialmente encriptadas e que, por isso, não estão totalmente protegidas.

Estas análises poderão ser realizadas regularmente e tratam não só de páginas HTML mas também de HTML 5 e JavaScript. Para o fazer, a Cloud Security Scanner cria uma botnet, uma rede de bots que consiste, essencialmente, no acesso remoto ao computador do utilizador para que a análise possa ser mais rigorosa. Estas botnets são, geralmente, associadas a hackers e, de facto, representam uma espécie de ataque ao computador mas, neste caso, autorizado.

A análise engloba duas fases. Um primeiro passo mais rápido em que o código HTML mais básico é verificado e, depois, um segundo passo mais demorado que pressupõe uma avaliação completa do desempenho do site e de todas as suas secções, incluindo botões e links que estejam incorporados.

Esta análise tão completa poderá, no entanto, acarretar alguns riscos, já que ao percorrer todos esses botões, a ferramenta poderá, ainda que inadvertidamente, realizar algumas ações, como, por exemplo, a publicação de comentários. Para que isso não aconteça, a Google aconselha que o scanner seja utilizada somente em versões de teste ou em sites que tenham bloqueados os elementos que possam ser acedidos pelos visitantes.

Numa publicação, a Google explica que testar uma nova versão pode ser emocionante mas que cada lançamento deve ser analisado e revisto para que sejam encontradas vulnerabilidades de segurança e que “apesar de scanners de segurança nas aplicações web existirem há anos, elas nem sempre são adequadas para os programadores do Google App Engine”.

A Google acrescenta que as ferramentas existentes são, muitas vezes, difíceis de instalar e que encontram demasiados problemas que acabam por se traduzir em falsos positivos, para além de terem sido criadas a pensar em empresas de segurança e não em programadores.

A Cloud Security Scanner está disponível gratuitamente e promete resolver muitos dos problemas de segurança dos programadores mas, ainda assim, a Google alerta para o facto de que “uma limpeza não significa necessariamente que a segurança está livre de bugs”. Recomendam ainda que seja realizada uma revisão manual.