Na pressa para implementar serviços online, algumas companhias podem estar se expondo a novos riscos de segurança que não são entendidos ainda, um instituto de pesquisas de segurança disse nesta quinta-feira durante a conferência CanSecWest/core06, em Vancouver, no Canadá.

Durante uma apresentação na conferência, o pesquisador Alex Stamos ilustrou como um número de tecnologias usadas em serviços online, incluindo o AJAX (Asynchronous JavaScript and XML) e a linguagem XQuery poderia ser explorada por hackers para descobrir informações secretas e atacar sistemas.

Serviços online é uma expressão usada para descrever uma forma de computação distribuída que usa padrões baseados na linguagem XML (Extensible Markup Language) para simplificar o trabalho de programação de software. Um dos seus princípios chave é que aplicações online são extremamente portáteis e podem facilmente interagir com outros tipos diferentes de software.

Enquanto a capacidade de múltipla plataforma pode simplificar a programação, pode também criar riscos de segurança ao criar situações ainda não antecipadas pelos desenvolvedores de software, disse Stamos, um dos fundadores da companhia Information Security Partners, em São Francisco. Durante sua palestra, o especialista descreveu um ataque em que o usuário poderia entrar um código malicioso em um formulário online e então ligar para o serviço de atendimento ao cliente da empresa para que um atendente, sem que saiba, ative o código.

Stamos também mostrou como os pedidos por serviços online poderiam ser usados para conduzir ataques de negação de serviço, ao criar entradas maliciosas em XML que usam quantidades enormes de memória ou bombardeando aplicações de bancos de dados com um número maior de pedidos que o suportado.

Desenvolvedores de aplicações online criaram ferramentas que funcionam de maneira "mágica", escondendo sua complexidade e tornando o serviço muito fácil de ser usado. Infelizmente, essa ferramenta também pode facilitar seu uso para que os usuários ignorem implicações de segurança que estão em construção, disse Stamos. "Com toda aquela "mágica pixelada", programadores de serviços online nem sempre entendem como as aplicações funcionam", analisou. "Nós temos uma quantidade enorme de clientes que estão conseguindo funcionalidades extremamente simples a partir apenas da internet".

E os hackers estão se aproximando. No último mês, a empresa de segurança Symantec divulgou seu estudo semestral Internet Security Threat, notando que aplicações online representam um alvo de crescente atração para hackers. De todas as vulnerabilidades registradas nos últimos seis meses de 2005, quase 70% foi associada a aplicações online, revelou a Symantec.

Esta tendência é particularmente preocupante para pequenas companhias que podem não ter dinheiro para assegurar completamente suas próprias infra-estruturas de segurança. Mas Stamos acredita que desenvolvedores de aplicações online podem ajudar ao acrescentar funções de filtro para seus produtos, para que os torne mais aptos a negar a execução de um software remoto.

Pesquisadores de segurança também podem prestar mais atenção para o problema, disse Stamos. "Queremos que mais profissionais de segurança olhem para problemas em serviços online", segundo o pesquisador. "A segurança de serviços online ainda é o filho bastardo da indústria de segurança".