O JavaScript está em toda lugar, assim como suas falhas!

Nos anos 90, na maioria dos casos, o JavaScript serviu para pouco mais do que criar efeitos em website, como fazer “nevar no Natal” ou celebrar outras datas comemorativas.

Atualmente, essa tecnologia de programação é famosa em toda a comunidade digital. Com ela se constroem aplicações web modernas, profissionais e para dispositivos móveis, o JavaScript está em execução em backends, frontends, embedado em dispositivos IoT, controlando robôs. Está em toda a parte!

Vemos cada vez um aumento de estabilidade e popularidade na tecnologia JavaScript – com componentes chamados popularmente de bibliotecas ou frameworks – segundo dados extraídos de comunidades de desenvolvimento como stackoverflow, GitHub, googletrends o stateofjs.

Com base nesta informação, observamos como o JavaScript vem se consolidando de maneira acelerada em diversos projetos na web em de diferentes indústrias. Mas, como em toda tecnologia ou linguagem de programação, cibercriminosos estão à espreita para se aproveitar de falhas e novas vulnerabilidades, afetando a segurança dos dados processados por essas aplicações.

Em um estudo realizado pela Universidade Northeastern foi consolidado de forma acelerada em vários projetos na Internet em diferentes setores.

Mas como em qualquer linguagem de programação ou tecnologia, os hackers  buscam falhas onde essas «novas» tecnologias, que se utilizam das infraestruturas tecnológicas de empresas, indústrias e usuários estão deixando de verificar se há vulnerabilidades e, dessa forma, afetam a segurança dos dados que eles estão criando a partir desses aplicativos.

Em um estudo realizado pela Northeastern University, foi constatado que mais de 37% dos sites usam bibliotecas com, ao menos, uma vulnerabilidade conhecida. Estão incluídas nessa análise o JQuery, Angular, Protótipo ou Backbone, entre outros que você pode rever em detalhes aqui.

O «ecossistema JavaScript» em sua própria história não possui uma estrutura sólida para documentar vulnerabilidades em suas bibliotecas ou estruturas. Nos últimos anos, houve uma tentativa de fazer algo na comunidade para manter uma lista consistente de vulnerabilidades conhecidas. As vulnerabilidades do JQuery aparecem na Web CVE, mas o que acontece com o Angular que não aparece? O fato de não aparecer lá não significa que não tenha vulnerabilidades, mas sim que tenha seu próprio lugar no GitHub, onde são documentadas  suas vulnerabilidades.

Além das vulnerabilidades conhecidas até o momento no NodeJS, uma das discrepâncias e preocupações existentes na comunidade é como saber se os pacotes fornecidos pelos desenvolvedores são um código seguro a ser incluído em seu projeto. Isso é algo semelhante ao que acontece com os plug-ins de gerenciadores de conteúdo, como o WordPress, o Drupal etc. Uma vez que falhas de segurança são frequentemente encontradas nelas.

As tecnologias de programação JavaScript estão aumentando em toda a Internet e agregam recursos e simplicidade que permitem acelerar os processos de desenvolvimento. As indústrias estão incorporando essa linguagem em quase todos os seus projetos, mas, como acontece com qualquer tecnologia, pontos fracos e melhorias devem ser adotados em seus processos de análise de segurança.

Em geral, existem opções para adaptar os controles de segurança em seu projeto de desenvolvimento e tentar fazê-lo da maneira mais segura e funcional possível. Nós da ElevenPaths, tentamos contribuir com a nossa inovação para a indústria e a comunidade, por isso temos feito coisas como habilitar dupla autenticação no NodeJS, ou desenvolver ferramentas para fortalecer o Wodpress entre outros.

Os processos de desenvolvimento de software de hoje em dia são muito mais complexos, pois dependem não apenas de uma tecnologia, mas de várias que são somadas camada a camada para se obter sucesso em termos de funcionalidade, segurança, desempenho e outros. Mas isto não pode ser desculpa para esquecermos os procedimentos, documentações, aplicações de controles de segurança necessários e o monitoramento frequente das fraquezas que aparecem nas tecnologias utilizadas nos projetos, para que assim caso necessário possa se executar alguma ação no tempo certo e na hora certa.

Texto Original – ES: Carlos Ávila
Tradução -PT: Cristiano Góes