A empresa de segurança Berghem lança dois produtos na Conferência Gartner Segurança & Gestão de Risco 2018: o Ratel e o APPSafe, projetados nos laboratórios de desenvolvimento, pesquisa e inovação da empresa, e destinados respectivamente a meios de pagamento e aplicativos móveis. A Berghem vai demonstrar os novos produtos no seu estande no Sheraton WTC, em São Paulo, nos dias 14 e 15 de agosto, quando ocorre a conferência do Gartner.
“Com a proliferação de apps, dispositivos móveis e novas plataformas de pagamento ao redor do mundo, em que inúmeras transações acontecem todos os segundos, as equipes de segurança acabam ficando ainda mais pressionadas, sobrecarregadas e ávidas por ferramentas inteligentes que não só as auxiliem em suas rotinas, mas também as libere para atividades mais estratégicas”, contextualiza Matteo Nava, CEO da Berghem.
Transações mais seguras
Voltado a organizações do ecossistema de pagamentos, o Ratel é uma solução que permite a emissores, processadores, autorizadores, entre outros entes do setor financeiro, executar um processo completo de teste para verificar se realmente oferece, nas transações que executa, segurança contra as principais fraudes eletrônicas.
A ferramenta permite examinar todos os elementos envolvidos no processo de pagamento com cartões com chip, sejam eles de débito ou crédito, e também aqueles com apenas tarja magnética. E ainda:
– Validar a efetiva implementação do processo de autorização, inclusive da operação full grade, verificando os campos do criptograma que ela envolve;
– Executar atividades em uma interface que suporta os principais terminais de mercado – POS e mPOS, ATM e TEF;
– Replicar de maneira simples os testes regressivos, de modo a assegurar que não surjam novas falhas em componentes e sistemas anteriormente analisados;
– Manipular qualquer parâmetro do cartão, simulando ataques do tipo Java Card, Wedge, CVM Downgrade, entre outros.
Matteo Nava lembra que o padrão EMV surgiu para auxiliar na redução das perdas em transações, porém, “quando não é devidamente implementado, ele possibilita a realização de fraudes muito comuns no Brasil”, que é o segundo no ranking mundial de fraudes financeiras. “Daí a importância de instrumentos como o Ratel para o mercado de meios de pagamento”, conclui o CEO da Berghem.
APPSafe: DevSecOps com inteligência
A fusão das equipes de desenvolvimento, segurança e operações – o chamado DevSecOps – vem sendo apontada como a saída mais eficaz para que uma aplicação alcance de forma mais rápida os requisitos de segurança esperados contra ameaças cibernéticas
A grande vantagem dessa prática está no equilíbrio do trabalho de cada grupo, para que a segurança não impacte as atividades dos times de desenvolvimento e operação. E, nesse contexto, são especialmente necessárias as ferramentas inteligentes de automação, uma vez que o processo de testes de segurança deve se encaixar perfeitamente em um cronograma de produção.
O APPSafe é uma plataforma de identificação e correção de vulnerabilidades a partir de base de conhecimento tendo como ponto de força a avaliação da lógica de negócio – que pode ser customizada e enriquecida de forma constante pelo analista, a partir dos desafios que enfrenta no dia a dia.
A solução desenvolvida pela Berghem contempla tanto testes estáticos (SAST) quanto dinâmicos (DAST) e interativos (IAST), além de testes regressivos previamente gravados.
“Um dos grandes diferenciais da ferramenta”, explica Raphael Schneider, à frente da área de Desenvolvimento Seguro da Berghem, “é a possibilidade de conectar o dispositivo móvel (smartphone ou tablet) diretamente ao APPSafe. Com isso, os resultados tendem a ser muito mais assertivos – pois, ao contrário do que acontece com testes realizados por meio de emuladores, identificamos pequenas diferenças comportamentais do aplicativo em seu próprio habitat”.
Schneider conclui: “O APPSafe acelera os testes de segurança em esteiras de desenvolvimento ágil, como a Scrum, reforça o nível de confiabilidade e segurança dos aplicativos e potencializa o trabalho das equipes envolvidas nas atividades de DevSecOps – valorizando, assim, o capital humano das organizações”.
