Sabemos que sites com o certificado SSL (HTTPS) possuem uma credibilidade maior com seus usuários. Este não é o único benefício do “cadeadinho verde”. Mas será que o seu negócio online e seus usuários estão completamente seguros com o uso deste recurso? A resposta é não. O uso certificado proporciona uma experiência mais segura para o usuário na troca de informações com o seu servidor, mas esta é apenas uma das abordagens de segurança para os negócios digitais.
Assim, hoje iremos falar sobre outras ameaças que rondam as aplicações, sites e portais. Mas se você quer entender mais sobre a abrangência do HTTPS e seus benefícios, recomendamos a leitura de uma outra postagem nossa sobre este tema, leia aqui.
Novos métodos para ataques e vulnerabilidades são descobertos quase que diariamente.
É um desafio constante estar preparado para se defender de ameaças conhecidas como “zero day” ou “dia zero”, termo utilizado para classificar um malware ou vulnerabilidade recém descoberta e que ninguém possui uma proteção específica. No entanto, existem falhas e estratégias de ataque conhecidas há muito tempo, que são amplamente debatidas e com muito material disponível na internet (tanto para ajudar a se proteger como para ajudar a atacar). Acontece que nem todos empreendedores digitais possuem familiaridade, conhecimento ou tempo para se informar e colocar em uso as melhores práticas para assegurar ao máximo um negócio digital. Não raro, possuem pouca ou nenhuma verba para investir na segurança e continuidade dos seus negócios.
Em termos práticos, encontram outras prioridades ou acham que seu negócio não é um possível alvo, justificando-se pelo fato da segurança (serviços, softwares e profissionais) ser cara, complexa e distantes de sua realidade.
Vamos tentar pensar na atuação de um criminoso convencional. Será que um ladrão de residências prefere roubar a casa com muro alto, com cão de guarda e câmeras de vigilância ou aquela que possui muros baixos e que vive de janelas abertas quando os donos saem? Na atuação criminosa na internet o princípio é o mesmo. Quando você não faz o básico, está se expondo e facilitando a vida do criminoso cibernético.
Principais Meios de Ataque
- Injeção de comandos: é uma estratégia onde o atacante injeta comandos através de formulários ou pela própria URL da aplicação. Ao invés de preencher um formulário com nome e endereço por exemplo, o campo é preenchido com um comando que pode ser interpretado pela aplicação. Os comandos mais utilizados são os direcionados ao banco de dados, também conhecidos como SQL Injection (SQL é a linguagem utilizada para manipular dados na maioria dos sistemas gerenciadores de banco de dados). Outro meio muito utilizado é o Cross-Site Scripting (XSS), onde o atacante injeta comandos em JavaScript ou HTML, podendo criar ou distorcer funcionalidades da aplicação. Os principais riscos para seu negócio são: roubo, dano ou exposição de dados do seu negócio ou de seus clientes, propagação ou infeção de malwares ou vírus para os visitantes, extravio de credenciais, dentre outros.
- DoS ou DDoS (negação de serviço): São ataques que visam tirar do ar um site ou aplicação através do consumo máximo dos recursos computacionais disponíveis para a sua hospedagem. O ataque se dá através de um ou de milhares (ou milhões) de computadores que geram várias requisições ao site alvo, fazendo com que os recursos de processador, memória e link cheguem no seu limite, tornando o site inacessível ou muito lento. Muitas vezes esses computadores que compõem o ataque são utilizados sem que seus donos saibam, pois estão infectados com bots. Recentemente, estudos relatam que com o avanço da IoT (internet of things), dispositivos diversos conectados à internet, como Smart TV, podem ser infectados e utilizados em ataques DDoS. Aqui os principais riscos para o seu negócio estão ligados a interrupção do ciclo normal das atividades institucionais, prejuízo com vendas perdidas (no caso de e-commerce), usuários frustrados e sem confiança no serviço prestado, e o desgaste geral de sua marca e empresa.
- Comprometimento de Credenciais: Uma credencial comprometida é aquela que é conhecida por um agente malicioso. Qual o dano pode ser causado por uma credencial com perfil administrativo do seu site na mão de um criminoso? Mas como isso pode ser possível? As causas mais comuns ligadas aos usuários são o uso de senhas fracas, uso de senhas padrão, senhas compartilhadas entre usuários, não praticar a alteração periódica de senhas, utilizar a mesma senha para diversos serviços online, dentre outros. No entanto, os usuários podem também ser vítimas de Phishing ou Malwares (mais detalhes adiante), e sem saber, acabam fornecendo suas credencias direto para o agente malicioso. Há ainda o brute-force, que são ataques automatizados para tentar autenticar em uma aplicação utilizando uma base enorme de possíveis senhas, como palavras comuns, datas, etc. Os impactos no seu negócio são diversos, como roubo e/ou dano a informações, tanto dados de clientes como informações estratégias ou propriedade intelectual de sua empresa. Há ainda o desgaste com a imagem de sua empresa, desapontamento de usuários, despesas com ações forenses, dentre outros.
- Softwares ou Componentes de Terceiros: Um dos fatos mais interessantes da internet é poder contar com aplicações de código aberto, livres para uso e customização, sem custo. Sem dúvida é um benefício e grande incentivo para qualquer negócio poder economizar ao criar um site, portal, loja virtual, e assim por diante. Dentre as soluções mais comuns da internet estão os gerenciadores de conteúdo (CMS) WordPress, Joomla e Drupal, e lojas virtuais Magento, OS Commerce e PrestaShop. Diante do benefício que tais soluções trazem, seu uso é muito amplo. Este fato atrai criminosos que passam a se dedicar a encontrar pontos frágeis nessas ferramentas, e assim ter uma enorme quantidade de possíveis alvos para explorar indevidamente. Mesmo com os mantenedores de tais soluções (que podem ser uma comunidade colaborativa ou uma instituição privada) empreendendo esforços para evoluir e melhorar seus produtos, nem sempre as empresas que fazem uso possuem uma rotina de atualizar para as novas versões que trazem correções e evoluções, permanecendo vulneráveis a diversos tipos de ataques, como os já citados aqui e tantos outros.
- Malwares: São pequenos aplicativos desenvolvidos para desempenharem funções maliciosas em um computador ou site. O Malware pode ser instalado em um computador e se propagar através da rede. Também é possível que um Malware infecte um site que por sua vez infecta seus visitantes. Algumas empresas de segurança, como as que fabricam antivírus e até mesmo o Google, compartilham informações sobre sites que estão infectados com Malware. Estes sites acabam em uma “Blacklist”, que é uma relação de sites que podem levar ameaças para seus usuários. Esta informação é compartilhada publicamente na internet, e logo o próprio Google ou os antivírus bloqueiam ou alertam os usuários quando tentam acessar um site infectado. Um Malware pode também danificar seu site, ou dar acesso indevido a uma pessoa com intenções maliciosas, de forma silenciosa, sem que cause um dano que seja rapidamente descoberto. Estes também são conhecidos como backdoors.
- Phishing: É uma técnica de engenharia social usada para roubar informações dos usuários alvos. O caso mais clássico é o do e-mail que chega do banco solicitando que o cadastro do correntista seja atualizado. O usuário então clica em um link que o remete a um site que é uma cópia muito fiel do site do banco, e sem perceber que na realidade ele está no site de um criminoso, preenche um formulário com seus dados, dentre eles agência, conta, cartão de crédito, endereço, etc. O Phishing não chega somente por e-mail. Também está nas redes sociais, mensagens de texto (SMS), dentre outros. O Phishing tem relação direta com o comprometimento de credenciais, já citado nesse post, por isso resolvemos aborda-lo nesse artigo que é voltado para segurança de aplicações. Há investidas que utilizam o Phishing para obter credenciais do registro.br, e com essa informação na mão, as consequências são as piores possíveis, pois o domínio do seu site está sob-controle de um terceiro com más intenções. Não só o seu site poderá ser comprometido, mas também o serviço de e-mails.
