Plataformas open source colocam em risco a segurança do e-commerce

O objetivo pode ser diverso, mas o ataque de crackers a uma loja virtual terá sempre as mesmas consequências, queda nas vendas e redução da confiança do consumidor em relação à segurança da página em que ele navega. E qualquer uma delas é nociva para a saúde financeira da empresa, que sem vendas pode falir. As plataformas open source aumentam os riscos de invasões e ameaçam a posição de mercado dos sites de comércio eletrônico.

O código aberto expõe as falhas de segurança da plataforma, de forma que um ataque prejudique várias empresas, em um curto espaço de tempo. Por exemplo, em um período de dez dias, de 24 de julho a 3 de agosto, cerca de seis milhões de páginas que utilizavam plataforma em código aberto OS Commerce foram infectadas por malwares, segundo reportagem do site IDG Now!. Os responsáveis pelo ataque se apoiaram em vulnerabilidades da plataforma, corrigidas nas novas versões do programa, porém que permaneceram sem atualização de seus usuários.

Rodrigo Garcia, diretor de tecnologia da informação da JET Tecnologia, explica que os sistemas open source estão disponíveis para qualquer internauta. “É como se tivéssemos um raio-x de uma porta e soubéssemos tudo o que está por trás dela. Essas informações facilitam, em muito, o trabalho de hackers mal-intencionados”, diz ele, que ainda acredita que o maior atrativo para a escolha das plataformas em código aberto seja o preço, que no final pode superar o previsto.

Infraestrutura

As customizações, aspectos que diferenciam as empresas no acirrado mercado competitivo, também acabam prejudicadas e contratar um profissional especializado em tecnologia para e-commerce para estabilizar a operação da loja, entre várias outras demandas, pode sair muito caro, elevando o valor inicial de contratação para além das possibilidades financeiras do empreendedor. Para Garcia, esses aspectos de risco fazem da plataforma no modelo Software as a Service – SaaS, mais adequada.

Com o SaaS, a loja passa a contar com uma infraestrutura indispensável para operar com disponibilidade de 24 horas por cada um dos sete dias da semana, durante o ano todo. “Ao escolher uma plataforma de Software as a Service, a sua loja será hospedada em uma ambiente protegido por Firewall, IDS, Servidores Redundantes e Storages. É muito dificíl e, caro, contratar uma solução open source e ter ainda que bancar com o custo de toda essa infraestrutura”, completa o diretor de tecnologia da informação.

A decisão mais importante

Um dos momentos mais importantes para uma empreitada segura no mundo dos negócios virtuais é o da escolha da plataforma. É uma fase delicada, onde é preciso contemplar todas as estimativas da empresa para se chegar ao modelo ideal, caso contrário, a plataforma poderá barrar o futuro de crescimento.

Encontrar um sistema que permita a integração com outras ferramentas importantes ao bom desempenho da loja virtual é outro aspecto fundamental, e às vezes subestimado. Garcia lembra como ter Enterprise Resource Planning (ERP) pode agilizar os processos e evitar o retrabalho. “A integração inconsistente ou não eficiente coloca em risco todos os negócios da empresa. Imagine que a empresa venda um produto para o Natal e que ele não chegue até o cliente porque a integração falhou. Esse cenário traz grandes consequências negativas irreversíveis”, observa.

Depois de conhecer os riscos e limitações de uma plataforma open source, você ainda optaria por ela para começar a vender pela internet?

Plataformas open source colocam em risco a segurança do e-commerce
Avalie este artigo

26 COMENTÁRIOS

  1. A autora demonstra total falta de conhecimento na área de desenvolvimento de software e pelo visto também precisa melhorar os “skill” jornalisticos. Onde está a imparcialidade? Realizou uma “pesquisa” e cita como referência apenas empresa de e-commerce que oferece plataforma no modelo SaaS (empresas que seguem esse modelo de negócio estão perdendo mercado para plataformas opensource como o Magento). Onde está o outro lado da moeda na reportagem?

    Se sistemas opensource são vuneraveis por serem opensources, então porque a GRANDE maioria dos servidores usam o sistema operacional baseado em UNIX (open source) ao invés do Windows Server? Inclusive boa parte das empresas que oferecem plataformas de e-commerce no modelo SaaS rodam seus sistemas em SO baseados em Unix e utilizam diversos frameworks opensource. Falo isso porque tenho experiência profissional na área.

    Existe um senso comum de que sistemas opensource, que possuem uma comunidade ativa, são em geral mais seguros já que falhas de segurança são encontradas e corrigdas mais rapidamente que sistemas de código fechado. Um exemplo são os navegadores (browser): Os navegadores mais seguros (Google chrome e firefox) são opensource, enquanto que o Internet Explorer, que possui inúmeras falhas de segurança, é de código fechado.

    Nota-se que, ao contrário do que o título resume, a questão não é se a plataforma é opensource ou não.

    Desconfio que o artigo seja um post patrocinado por empresas que oferecem plataforma no modelo SaaS.

  2. Olá Talita,

    Quanto ao seu texto, eu entendo dois pontos que vocês quis abordar:

    1. É aberto todo mundo conhece o software,
    2. As empresas deixam de atualizar suas plataformas

    Só que o conteúdo está muito mal apresentado, desde a escrita a forma abordada do tema, não querendo achar, mas parece que você ouviu alguém falar e saiu escrevendo.

    E me pareceu um pouco hipócrita da sua parte, sendo que você usar WordPress no seu blog que é um sistema OpenSource e tem o que apresentaste.

    Desculpa a sinceridade nas palavras, mas é o melhor jeito de falar 🙂

    Abraço.

  3. Plataformas Open Source são desenvolvidas por uma comunidade mundial de pessoas engajadas. Portanto, fica a pergunta: Quem pode oferecer mais segurança? Uma comunidade mundial ou uma empresa com meia dúzia de funcionários? Esse tipo de matéria é típica de pessoas ou empresas que possuem sistemas (plataformas) para vender. Há diversos outros fatores a se considerar quanto à escolha da sua plataforma e e-commerce. E isso não quer dizer que plataformas Open são inseguras. Todas podem sofrer ataques.

    • Concordo, para complementar eu faço apenas duas observações: 1.Prefiro um código revisado pela comunidade OpenSource, tende a ser mais seguro. 2.A infraestrutura de desenvolvimento também é de conhecimento público, como por exemplo o framework Microsoft, o que também poderia ser usado para facilitar os ataques.

      • boa tarde. tbm sem contar que vc pode muito bem ter ip fixo e comprar certificado digital e é claro se certificar que o servidor onde vc esta hospedado tem https, onde vc terá muito mais segurança. concordo plenamente com o comentario do Paulo Sabbanelli. conheço algumas empresas que alugam sites que tem seu sistema proprio e é por algumas vezes roubada. tenho loja e sei de algumas que tem um sistema que parece brincadeira. mais vale a pena vc cabar por desenvolver sua propria e ter todos os certificados digitais. vai a dica.

  4. Mentira que estou lendo isso?

    A segurança não está no fato de ser ou não OpenSource; não é só isso que indica se algo será segura ou não… A questão da segurança está no todo, desde a preocupação nas configurações dos servidores e serviços, até mesmo ao front-end em um Banner em Flash que pode conter código nocivo ao usuário que acessar o portal. Um servidor *nix é tão seguro qto a expertise de quem o configurou; manter esse serviço seguro depende de atenção, atualizações periódicas, rotinas, leitura de Logs e uma penca de outras preocupações que independem de ser Open ou não… Vc realmente acha que ( por exemplo, não é 100% dos casos ) um administrador Windows entende os alertas do console do mesmo?

    Isso chama-se mentir, omitir e generalizar… cuidado com o que lêem por aí!

    • Vários elementos garantem a segurança no e-commerce. Todos estamos certos disso. Mas a discussão foi a respeito de um fato, ocorrido no mercado. A partir dele levantei o que pode trazer insegurança no uso da plataforma open source. Esse outros pontos que você citou podem ser amplamente discutidos, mas em artigos direcionados.

  5. Pessoal, sei que não é o principal assunto deste fórum, mas e com relação ao OpenCart propriamente dito. O que vocês acham dessa plataforma? Me disseram que é uma das melhores “opensource”, depois da Magento. Confio na opinião de vocês e adoraria saber a respeito. Que fique claro que isso não é Jabá, pesquisa informal nem nada. Apenas minha dúvida pois estou prestes a ter o meu primeiro e-commerce.

    Grande abraço.

  6. Visito esse blog há meses e acho que nunca vi uma discussão tão acalorada em um único assunto. Parece que a Srta. Talita mexeu em um vespeiro, e dos piores possíveis – open source.

    Não acho que exista coisa pior do que tentar conversar sobre open source. A conversa passa para discussão e finaliza com discursos xiitas de pregadores de código livre mais ocupados em perturbar e praticar o “troll” – http://pt.wikipedia.org/wiki/Troll_(internet), incapazes de debater sobre os prós e os contras, vantagens e desvantagens, e assim manter a conversa em um nível adequado.

    Essas figurinhas são facilmente identificáveis pelo discurso inflamado, messiânico, sem conteúdo ou contexto aproveitáveis (e pela foto do banheiro com a balança no chão), bradando FUD FUD FUD FUD como se fosse um grito para induzir o mundo à guerra.

    Bom, depois de contribuir com os leitores no sentido de não se enganarem com esse tipo de gente que deveria ser mais democrática do que xiita, vamos ao texto da Srta. Talita e tentar trazer o debate novamente para o nível adequado, como deve ser.

    Vi que a Srta. cita uma grande empresa de e-commerce. Como nunca cito empresas sem antes pesquisá-las, digo que se trata da criadora e mantenedora de uma das melhores plataformas do mercado. Então a srta. deve trabalhar nela, ou para ela. Parabéns, pois ter a oportunidade de trabalhar para uma empresa desse nível, isso por si só já é um motivo de comoção e inveja para muitos, infelizmente.

    Quanto ao texto, eu concordo e discordo em alguns aspectos. O fato ocorrido com o OsCommerce foi realmente lamentável e expôs a grande dificuldade de ter que se lidar com sistemas open source.

    Dos piores cenários que uma empresa possa enfrentar quando adota o open source em alguma solução, podemos citar a falta de padrão e a notável falta de compromisso dos profissionais dessa área. Soma-se a isso a errônea idéia das empresas que adotar open source em missões críticas como e-commerce é vantajoso, reduz os custos, e pior: a falsa percepção de segurança, pois se é open source, foi criado, testado, homologado e aprovado por milhares de nerds experts em tecnologia. Será?

    Primeiro: não existe homologação nessa área. Padrões são uma lenda. Basta olhar para as milhares de versões do Linux que existem por aí. Qualquer um pode criar a sua, tipo, mm não gostei dessa tela preta do compilador. Vou criar minha própria versão com a tela verde, assim fica ecologicamente mais apresentável. Piadas à parte, o cenário é mais ou menos esse.

    Recentemente (2 dias atrás), houve uma comoção em torno do próprio PHP, que em uma de suas recém lançadas versões, veio com um bug sério na função crypt, responsável pela criptografia no PHP.

    NENHUM software é perfeito, seja ele aberto ou proprietário. NENHUMA estrutura de TI, da mais robusta à mais simples, resiste a bugs em softwares. O hacker não explora a falha no capacitor XYZ do servidor, ele explorar a brecha no software deixada pelo programador, formado ou não, certificado ou não, capacitado ou não, xiita ou não.

    Estamos falando de e-commerce, missão crítica, dados de cartões de crédito, pessoais, documentos de consumidores. Estamos falando de SEGURANÇA e acho que esse é o ponto chave de alerta na intenção dessa matéria. Será que a plataforma da JET não tem nenhuma falha? Duvido, mas tenho certeza de que à caça (ou correção) delas, estão profissionais de grande capacidade e especialistas no que fazem. E quando o telefone da sua empresa tocar, com alguém do outro lado reclamando que hackers roubaram os seus dados, tenho certeza que vai pegar o telefone, ligar na empresa e será atendido por alguém que sabe do que fala e que vai cuidar imediatamente do problema.

    No mundo do open source, o perigo é isso acontecer, você ligar na empresa e ouvir que eles conhecem o problema, mas estão tentando achar o Maddog Hall para resolvê-lo, pois foi ele que escreveu algumas linhas do crypt, e depois vão atrás do Linus Torvalds, porque até agora ninguém descobriu quem escreveu a linha de código que deixa qualquer acessar a foto do seu banheiro com a balança no chão …

    Capacidade, padronização, homologação, especialização, investimento. Alguns dos pilares que devem sustentar projetos sérios de e-commerce.

    Abaixo a “trollagem”, o discurso xiita e os brados de FUD. Isso para mim é pior que inveja e inveja para mim nada mais é do que pura incapacidade de realizar.

  7. Fazendo uma análise imparcial deste artigo: A questão levantada foi quanto a alguns pontos relacionados a falhas de segurança. No meu entendimento não foi dito para não usar plataforma Open Source, apenas para FICAR ATENTO a pontos importantes, baseados até numa situação real divulgada na imprensa em geral. Assim sendo, se você usa uma plataforma Open Source deve se preocupar também com segurança, assim como softwares proprietários também o fazem (não estou dizendo que outros como Magento não investem em segurança), mas também lembrar destes fatos apontados na notícia que podem acarretar em vulnerabilidades, como o que foi falado sobre conhecimento da estrutura do software, por ser baseado em Open Source.

    • Concordo com o fernando em termos de se tomar cuidado com as atualizações. Tem gente que acha que já que a loja está instalada e funciona não precisa instalar. Eu sempre chamo atenção para isso nos cursos. Se não mantiver a loja atualizada é possível que você venha a enfrantar problemas como os de segurança, como foi o caso da osCommerce, nesse caso, pela falta de novas versões mesmo.

      Para se ter uma idéia da importância dessas atualizações em plataformas open source, muito mais que a metade das atualizações do WordPress foram lançadas porque foi identificada uma vulnerabilidade no sistema.

      Fica então a dica, instalou uma plataforma open source, seja ela de e-commerce ou criação de blogs, fique em dia com as atualizações para não ter dor de cabeça depois.

      Um grande abraço a todos

      Alberto Valle
      Curso de E-Commerce – http://www.cursodeecommerce.com.br
      @BettoValle

  8. Compartilho da opinião do nosso amigo Glaucius. Artigo extremamente desnecessário, sem nenhum teor informativo válido.

  9. Não é bem assim Talita. As lojas virtuais baseadas em plataformas open source como a Magento, por exemplo, são extremamente seguras, quando bem instaladas e configuradas. Se não fossem, empresas como a Nokia, Samsung, Ford e Lenovo, não as estariam usando – todas essas empresas usam a Magento.

    Talvez nesse post vocês estivessem querendo fazer uma referência a invasão em massa ocorrida a alguns dias nas plataformas osCommerce. Realmente o sistema possuia uma séria vulnerabilidade que permitiu esse tipo de ação, mas é bom ver o que realmente está por trás dessa história.

    A osCommerce não recebe atualizações significantes a mais de 3 anos e por isso está caindo em desuso. É claro que uma plataforma com essa defasagem tecnológica estará exposta a todo tipo de ação predadora.

    Em nosso curso sobre criação de lojas virtuais sempre recomendamos a Magento como solução open source, principalmente por ser uma plataforma robusta e top de linha em termos de tecnologia. Quanto a segurança, se não for instalada pelo “sobrinho”, ela é muito segura sim.

    Um grande abraço

    Alberto Valle
    Curso de E-Commerce – http://www.cursodeecommerce.com.br
    @BettoValle

    • Mas é exatamente isso que eu falo. Para ficar claro, no texto faço referência a OS Commerce, explico os riscos e também fica óbvio que a partir de um gerenciamento correto, a plataforma open source terá a mesma segurança que qualquer outra. O apelo, como já disse, é que alguns empresários não possuem conhecimento técnico o suficiente para acompanhar o aperfeiçoamento do mercado. Esse é o risco. Mas todas as plataformas são boas e importantes para o mercado. A escolha só precisa estar acertada ao tamanho do seu negócio e objetivos, que devem estar bem delineados já no início de todo o planejamento. Valeu pelos comentários.

    • Obviamente investindo-se maciçamente em TI (profissionais bem qualificados, infra, etc) e além do que você ressaltou, necessitaria “blindar” a loja virtual, onde pode ir além da infra e necessitar mudar o código-fonte (caso da OsCommerce), o que perde um pouco o sentido de “open source”, pois deixa de ter características desta modalidade, tal como a continuidade e evolução da plataforma, visto que ela passou a ser customizada para si, ganhando um perfil de plataforma “proprietária”, conforme o % de customização investido.

  10. Pegou pesado Talita.

    As plataformas open source quando bem instaladas não oferecem qualquer tipo de ameaça a segurança das lojas.

    Não é porque as lojas são open source que elas são menos seguras. Tem muita loja alugada e exclusiva por ai que é um verdadeiro quiejo suiço.

    • Na verdade Glaucius, é apenas uma matéria informativa sobre os riscos do código aberto. A intenção não é, de forma alguma, desacreditar concorrentes. O que utilizei foi um caso verídico sobre como uma situação como a que ocorreu com o OS Commerce pode trazer resultados negativos, e significativos, para a credibilidade da segurança do e-commerce em geral. Inclusive, o alerta mais importante deste texto é para um acompanhamento permanente das atualizações em open source, que aliás, não são poucas. Situação complicadora para um perfeito gerenciamento de uma loja virtual, sem a presença de um técnico. Obrigada de qualquer forma por estabelecer um debate.

      • Talita

        Acredito que você esta com informação equivocada sobre riscos. Eles existem de qualquer maneira, queira a plataforma seja open source ou proprietária. Como o caso que vc citou exitem inúmeras outras ocorrências com sistemas proprietários, lembre-se dos problemas enfrentados pelas redes de jogos de videgame por exemplo, do PS3 é um caso sério.

        Eu não gostaria de acreditar que se trata de má-fé o seu comentário, criminalizando plataformas open source em favorecimento a empresa que vc presta serviços. Isso é FUD.

        Glaucius Djalma Pereira Junior
        http://glaucius.com

        • Ah, sim. Existem os riscos em qualquer que seja a plataforma, pois falamos de uma rede, interconectada no mundo. Apenas expus algumas situações. Códigos proprietários também podem ter falhas e profissionais trabalham constantemente para corrigi-las, assim como no código aberto. Como eu já disse, o que impacta na segurança é a atualização de quem utiliza o sistema.

      • Talita, a grande vantagem do sistema ser open source e justamente a segurança e a grande quantidade de informações que pode ser encontrado sobre o sistema. Para maior segurança na aplicação se faz necessário a contratação de um profissional que cuide da parte “técnica” atualizando e fazendo manutenção preventiva do sistema para que ele não venha apresentar problemas como o relatado, afinal TI não e o core business do empresário. Quanto ao comentário do Sr. Rodrigo Garcia,e no minimo tendencioso.

        • Hedwing,

          Eles não sabem o que dizem, alias, eles sabem muito bem, eles querem vender a plataforma deles. Isso é FUD. Prática venenosa e de má-fé, que fica lançando boatos mentirosos, sem nenhuma sustentação e sem argumentos sólidos.

          Olha que patético essa declaração : ““É como se tivéssemos um raio-x de uma porta e soubéssemos tudo o que está por trás dela. Essas informações facilitam, em muito, o trabalho de hackers mal-intencionados”” do Rodrigo Garcia, chefe da Talita.

          Abraço pra todo mundo ai,

          Talita, presta atenção no tipo de coisa que vc coloca o seu nome, pode não pegar bem.

          • Totalmente desnecessário esse troll e esses grunhidos de FUD. Patéticas são essas posturas xiitas e extremamente ofensivas de pregadores de open source, que não são capazes de elaborar um pensamento linear ou um debate decente.
            Comportam-se como os sobrinhos que quebram galho com PHP de vez em quando incapazes de respeitar o ponto de vista de uma ou outra pessoa, ou uma empresa, que seja.
            A matéria foi baseada em um dado, gerado por um levantamento feito no mercado, empresas de segurança e TI. Não enxerguei FUD em nenhum momento nesse texto, apenas nos seus comentários ofensivos e obcecados. O mercado precisa de gente de visão, e não de paspalhos brigões como você, que muito certamente nunca trabalhou em uma empresa que exige certificação e especialização na área.

        • É esse o ponto de discussão do artigo. Como em comentários anteriores, Nokia e outras empresas importantes optaram pela plataforma de código aberto, o que demonstra a qualidade de certas ferramentas de código aberto, mas o investimento em segurança pode se tornar um aspecto dispendioso para a implantação e manutenção do sistema. Não podemos afirmar que todas as plataformas de código proprietário ou open source trazem segurança, porque esse é um fator que depende de várias outras circunstâncias.

          • O título é pertinente para o assunto, não está fora de contexto, porque o título é apenas um resumo do que encontra no texto. Acho que devemos centrar a discussão para algo além das hipóteses. O importante é ler o texto para a interpretação acertada e, pessoal, o que tem neste texto é a verdade de como funciona o setor para as plataformas de código aberto. Lá está explícito que é preciso investir em tecnologia, manter as atualizações e os procedimentos corretos, além de abordar um caso verídico. Não importa se a OS Commerce é uma plataforma já ultrapassada, pois ainda é muito utilizada entre os lojistas, que ao contrário dos profissionais de tecnologia, não conseguem acompanhar o mercado para ter o discernimento completo sobre atualizações e códigos defasados. Em momento algum há no texto uma opinião para direcionar a escolha dos interessados em plataforma de código aberto ou proprietário. Como o nome fala, é código público, conhecido por todos, falar em raio-x é uma analogia válida, que não se deve negar.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here