Todos os websites na Internet são de certa forma vulneráveis a ataques de segurança. As ameaças variam de erros humanos a ataques sofisticados de ciber-criminosos coordenados.
De acordo com o Relatório de Investigações de Violação de Dados da Verizon, a principal motivação dos ciberataqueiros é financeira. Se você dirige um projeto de comércio eletrônico ou um simples site de pequenas empresas, o risco de um potencial ataque está lá.
É mais importante do que nunca saber o que você está enfrentando. Cada ataque malicioso no seu website tem as suas especificidades, e com uma série de tipos diferentes de ataques por aí, pode parecer impossível defender-se contra todos eles. Mesmo assim, você pode fazer muito para proteger seu site contra esses ataques e mitigar o risco de hackers maliciosos atacarem seu site.
Vejamos mais de perto 10 dos ataques cibernéticos mais frequentes que acontecem na Internet e como você pode proteger seu site contra eles.
- Os 10 ataques de segurança a websites mais comuns
- Cross-Site Scripting (XSS)
- Ataques de Injeção
- Fuzzing (ou Fuzz Testing)
- Ataque de Dia Zero
- Caminho (ou Diretório) Traversal
- Distributed Denial-of-Service (DDoS)
- Ataque de homem-médio
- Brute Force Attack
- Usando código desconhecido ou de terceiros
- Phishing
- Em Conclusão
Os 10 ataques de segurança a websites mais comuns
Cross-Site Scripting (XSS)
Um estudo recente da Precise Security descobriu que o ataque XSS é o ataque cibernético mais comum, constituindo aproximadamente 40% de todos os ataques. Mesmo sendo o mais frequente, a maioria destes ataques não são muito sofisticados e são executados por cibercriminosos amadores usando scripts que outros criaram.
Cross-Site Scripting tem como alvo os usuários de um site em vez da própria aplicação web. O hacker malicioso insere um pedaço de código em um site vulnerável, que é então executado pelo visitante do site. O código pode comprometer as contas do usuário, ativar cavalos de Tróia ou modificar o conteúdo do site para enganar o usuário a fornecer informações privadas.
Você pode proteger seu site contra ataques XSS, configurando um firewall de aplicação web (WAF). O WAF funciona como um filtro que identifica e bloqueia quaisquer pedidos maliciosos ao seu website. Normalmente, as empresas de hospedagem web já possuem WAF quando você compra o serviço delas, mas você também pode configurá-lo você mesmo.
Ataques de Injeção
O Open Web Application Security Project (OWASP) em sua última pesquisa Top Ten nomeou as falhas de injeção como o maior fator de risco para websites. O método de injeção SQL é a prática mais popular usada por ciber-criminosos nesta categoria.
Os métodos de ataque de injeção têm como alvo direto o website e o banco de dados do servidor. Quando executado, o atacante insere um pedaço de código que revela dados escondidos e entradas de usuários, permite a modificação de dados e geralmente compromete a aplicação.
Proteger seu website contra ataques baseados em injeção se resume principalmente ao quão bem você construiu sua base de código. Por exemplo, a primeira maneira de mitigar o risco de uma injeção SQL é sempre usar instruções parametrizadas onde disponíveis, entre outros métodos. Além disso, você pode considerar o uso de um fluxo de trabalho de autenticação de terceiros para terceirizar a proteção do seu banco de dados.
Fuzzing (ou Fuzz Testing)
Desenvolvedores usam o teste fuzz para encontrar erros de codificação e brechas de segurança em software, sistemas operacionais ou redes. Entretanto, os atacantes podem usar a mesma técnica para encontrar vulnerabilidades em seu site ou servidor.
Funciona inserindo inicialmente uma grande quantidade de dados aleatórios (fuzz) em uma aplicação para fazê-la travar. O próximo passo é usar uma ferramenta de software fuzzer para identificar os pontos fracos. Se houver alguma falha na segurança do alvo, o atacante pode explorá-la ainda mais.
A melhor maneira de combater um ataque de fuzzing é manter sua segurança e outros aplicativos atualizados. Isto é especialmente verdade para quaisquer patches de segurança que saiam com uma atualização que os agressores podem explorar se você ainda não fez a atualização.
Ataque de Dia Zero
Um ataque de dia zero é uma extensão de um ataque fuzzing, mas não requer a identificação de pontos fracos per se. O caso mais recente deste tipo de ataque foi identificado pelo estudo do Google, onde identificaram potenciais explorações de dia zero no software Windows e Chrome.
Existem dois cenários de como hackers maliciosos podem se beneficiar do ataque de dia zero. O primeiro caso é se os atacantes podem obter informações sobre uma próxima atualização de segurança, eles podem aprender onde estão as brechas antes da atualização entrar em operação. No segundo cenário, os ciber-criminosos recebem as informações do patch e têm como alvo os usuários que ainda não atualizaram seus sistemas. Em ambos os casos, sua segurança fica comprometida, e os danos subsequentes dependem das habilidades dos perpetradores.
A maneira mais fácil de se proteger e proteger seu site contra ataques de dia zero é atualizar seu software imediatamente após os editores solicitarem uma nova versão.
Caminho (ou Diretório) Traversal
Um ataque de traversal do caminho não é tão comum quanto os métodos de hacking anteriores, mas ainda é uma ameaça considerável para qualquer aplicação web.
Ataques de traversal do caminho têm como alvo a pasta raiz da web para acessar arquivos ou diretórios não autorizados fora da pasta alvo. O atacante tenta injetar padrões de movimento dentro do diretório do servidor para subir na hierarquia. Uma travessia de caminho bem sucedida pode comprometer o acesso do site, arquivos de configuração, bancos de dados e outros sites e arquivos no mesmo servidor físico.
Proteger o seu site contra um ataque de travessia de caminho, chega até a sua sanitização de entrada. Isto significa manter as entradas do usuário seguras e irrecuperáveis a partir do seu servidor. A sugestão mais direta aqui é construir sua base de código para que qualquer informação de um usuário não esteja passando para as APIs do sistema de arquivos. No entanto, se isso não for possível, existem outras soluções técnicas.
Distributed Denial-of-Service (DDoS)
O ataque DDoS por si só não permite que o hacker malicioso quebre a segurança, mas tornará o site temporária ou permanentemente offline. A Pesquisa de Riscos de Segurança TI da Kaspersky Lab em 2017 concluiu que um único ataque DDoS custa às pequenas empresas $123K e às grandes empresas $2,3M em média.
O ataque DDoS visa sobrecarregar o servidor web do alvo com pedidos, tornando o site indisponível para outros visitantes. Uma botnet normalmente cria um vasto número de pedidos, que é distribuído entre computadores previamente infectados. Além disso, ataques DDoS são frequentemente usados em conjunto com outros métodos; o objetivo do primeiro é distrair os sistemas de segurança enquanto explora uma vulnerabilidade.
Proteger seu site contra um ataque DDoS é geralmente multifacetado. Primeiro, você precisa mitigar o pico de tráfego usando uma Rede de Entrega de Conteúdo (CDN), um balanceador de carga e recursos escaláveis. Em segundo lugar, você também precisa implantar um Web Application Firewall caso o ataque DDoS esteja ocultando outro método de ataque cibernético, como uma injeção ou XSS.
Ataque de homem-médio
Os ataques homem-médio são comuns entre sites que não codificaram seus dados enquanto eles viajam do usuário para os servidores. Como usuário, você pode identificar um risco potencial examinando se a URL do site começa com um HTTPS, onde o “S” implica que os dados estão sendo criptografados.
Ataques usam o tipo de ataque man-in-the-middle para coletar informações (muitas vezes sensíveis). O perpetrador intercepta os dados à medida que estes são transferidos entre duas partes. Se os dados não forem criptografados, o agressor pode facilmente ler detalhes pessoais, de login ou outros detalhes sensíveis que viajam entre dois locais na Internet.
Uma forma direta de mitigar o ataque man-in-the-middle é instalar um certificado Secure Sockets Layer (SSL) no seu site. Este certificado encripta toda a informação que viaja entre as partes para que o atacante não faça facilmente sentido. Tipicamente, a maioria dos provedores de hospedagem modernos já possuem um certificado SSL com seu pacote de hospedagem.
Brute Force Attack
Um ataque de força bruta é um método muito simples para acessar as informações de login de uma aplicação web. É também um dos mais fáceis de mitigar, especialmente do lado do usuário.
O atacante tenta adivinhar a combinação de nome de usuário e senha para acessar a conta do usuário. Claro que, mesmo com vários computadores, isto pode levar anos, a menos que a senha seja muito simples e óbvia.
A melhor maneira de proteger suas informações de login é criando uma senha forte ou usando autenticação de dois fatores (2FA). Como proprietário de um site, você pode exigir que seus usuários configurem ambos para mitigar o risco de um criminoso cibernético adivinhar a senha.
Usando código desconhecido ou de terceiros
Embora não seja um ataque direto ao seu site, usar código não verificado criado por uma terceira pessoa pode levar a uma grave quebra de segurança.
O criador original de um pedaço de código ou de um aplicativo escondeu uma string maliciosa dentro do código ou deixou, inconscientemente, uma backdoor. Você então incorpora o código “infectado” ao seu site, e então ele é executado ou a porta traseira é explorada. Os efeitos podem variar de simples transferência de dados até obter acesso administrativo ao seu site.
Para evitar riscos em torno de uma possível violação, tenha sempre seus desenvolvedores pesquisando e auditando a validade do código. Além disso, certifique-se de que os plugins que você usa (especialmente para WordPress) estão atualizados e recebem regularmente patches de segurança – a pesquisa mostra que mais de 17.000 plugins WordPress (ou cerca de 47% dos plugins WordPress na época do estudo) não eram atualizados há dois anos.
Phishing
Phishing é outro método de ataque que não é diretamente destinado a sites, mas também não poderíamos deixá-lo fora da lista, pois ainda pode comprometer a integridade do seu sistema. O motivo é que o phishing é, de acordo com o Relatório de Crimes na Internet do FBI, o crime cibernético de engenharia social mais comum.
A ferramenta padrão usada em tentativas de phishing é o e-mail. Os assaltantes geralmente se mascaram como alguém que não são e tentam fazer com que suas vítimas compartilhem informações sensíveis ou façam uma transferência bancária. Estes tipos de ataques podem ser estranhos como o esquema 419 (uma parte de uma categoria de fraude de Advance Fee Fraud) ou mais sofisticados envolvendo endereços de e-mail falsificados, sites aparentemente autênticos e linguagem persuasiva. Este último é mais amplamente conhecido como Spear phishing.
A forma mais eficaz de mitigar o risco de um esquema de phishing é através do treinamento de sua equipe e de você mesmo para identificar tais tentativas. Verifique sempre se o endereço de e-mail do remetente é legítimo, a mensagem não é estranha e o pedido não é bizarro. E, se for bom demais para ser verdade, provavelmente é.
Em Conclusão
Os ataques em seu site podem tomar muitas formas, e os atacantes por trás deles podem ser amadores ou profissionais coordenados.
>
O take-away da chave não é ignorar os recursos de segurança ao criar ou rodar seu site porque pode ter consequências terríveis.
Embora não seja possível eliminar completamente o risco de um ataque ao site, você pode pelo menos mitigar a possibilidade e a gravidade do resultado.
Sobre o Autor: Gert Svaiko é um copywriter profissional que trabalha com empresas de cibersegurança nos EUA e na UE. Você pode contatá-lo no LinkedIn.
Editor’s Note: As opiniões expressas neste artigo de autor convidado são exclusivamente do contribuinte, e não refletem necessariamente as do Tripwire, Inc.