Como você avalia a confiabilidade do site da sua empresa com relação à segurança que ele oferece aos seus visitantes?
Atualmente, ter um website engloba mais responsabilidade que apenas disponibilizar informações em ambiente digital.
Ter uma página na internet, implica também, no dever de zelar e assegurar a proteção de todos que por ela navegam.
Até pouco tempo, essa não era uma preocupação presente, principalmente devido ao baixo número de invasões que ocorriam. A má notícia é que esses números estão mudando rapidamente!
Temos acompanhado bem de perto esse assunto em virtude do volume recorrente de páginas invadidas que temos atendido aqui na agência. Somente nos últimos 6 meses, foram mais de 50.
Por essa razão, muitas empresas estão despertando para o problema da pior maneira possível, após terem perdido dados e até mesmo, infectado com códigos maliciosos, trojans, vírus e malwares, dispositivos de potenciais clientes que acessaram o seu website.
Se você possui conteúdo digital, chegou a hora de dar prioridade ao assunto!
Essa é uma preocupação cada vez mais latente em todos que utilizam a internet como ferramenta de comunicação e negócios por diversos motivos, os quais veremos a seguir.
Como as invasões de sites acontecem?
Antes de abordar este tópico, preciso dizer que o objetivo deste texto não é explicar tecnicamente para profissionais de TI como as invasões ocorrem, e sim, alertar usuários em geral sobre o que torna possível tais ataques.
Então, vamos lá…
Existem inúmeros elementos que podem ser usados para crackear um website, mas, basicamente na grande maioria dos casos, eles ocorrem por 2 motivos principais:
- Elementos desatualizados que compõem a página;
- Comunicação desprotegida entre site e servidor de hospedagem.
Vamos falar sobre cada um deles!
1. Elementos desatualizados que compõem um website
Aquele antigo contexto em que páginas web eram construídas e permaneciam intocadas por meses e até anos, não existe mais.
O desenvolvimento de plataformas e ferramentas para disponibilização de conteúdo na internet é um dos segmentos que mais vem sendo impactado por avanços tecnológicos, sofrendo assim, mudanças constantes e rápidas.
Para ilustrar o que estou dizendo, somente o WordPress, que é considerado a plataforma de gerenciamento de conteúdo (CMS – Content Management System) mais usada no mundo para criação de sites e blogs (W3Techs) foi atualizada 3 vezes entre janeiro a abril de 2018.
Tais plataformas possuem somente recursos básicos, que na maioria das vezes, são insuficientes para criação de layouts mais elaborados, fazendo com que os seus desenvolvedores busquem complementos que ofereçam mais funcionalidades. São os chamados plugins.
Cada plugin, de modo geral, é criado e mantido por um desenvolvedor diferente, possuindo assim, uma linha de tempo à parte do CMS para receber atualizações.
A sua alta disponibilidade – são atualmente mais de 53 mil plugins registrados para WordPress – torna o uso desse tipo de complemento uma prática comum. Nosso blog por exemplo, usa em sua estrutura 8 deles, e nós utilizamos poucos se compararmos com outros blogs.
Nesse cenário, como você imagina que seja nossa periodicidade de atualizações?
Não se assuste, mas, nosso fluxo de administração desta página, para que seja possível mantermos tudo sempre atualizado, é quase diário.
O que leva crackers a invadiram websites?
Devido às inúmeras possibilidades oferecidas pelas invasões, crackers não economizam em criatividade, e possuem motivações que muitas vezes, vão além de simplesmente destruir o trabalho alheio ou camuflar a sua identidade.
Em alguns casos, as invasões adicionam códigos com links invisíveis ao longo do conteúdo de uma página, fazendo com que ao serem clicados, os usuários sejam direcionados para outro domínio.
Esta prática traz 2 benefícios ao invasor:
- Aumenta a credibilidade do seu domínio perante os mecanismos de busca, uma vez que o mesmo passa a ser referenciado por diversos sites.
- Gera remuneração em dinheiro se o link direcionar para publicidade de terceiros.
Ainda nesse sentido, existe a possibilidade do código malicioso fazer com que sejam carregados anúncios em forma de banners e pop-ups sobre o conteúdo da página invadida, gerando também ao invasor, remuneração pelos cliques e exibições.
Estes são apenas alguns exemplos simples, que encontramos com frequência na internet.
Não vou me estender, mas quero que perceba o quão complexo esse assunto pode ser!
Por que as atualizações de plataformas CMS e seus plugins são importantes?
As atualizações das plataformas CMS e seus plugins tem como principais objetivos:
- Adicionar novas funcionalidades;
- Incluir recursos e melhorias de desempenho e performance;
- Corrigir falhas de compatibilidade;
- Eliminar brechas de segurança;
O último ponto aqui é o que nos interessa neste texto!
Na minha opinião, segurança é a principal razão para se manter um site sempre atualizado.
As ferramentas de gerenciamento de conteúdo mais usadas no mercado atualmente são Open Source, ou seja, de código aberto.
Assim, desenvolvedores de todo o mundo estudam e trabalham em seu código fonte para implementação de melhorias.
Porém, qualquer pessoa tem acesso irrestrito à sua estrutura, o que torna mais simples, a descoberta de falhas por pessoas má intencionadas.
Sempre que uma falha de segurança se torna conhecida, toda a comunidade se empenha em corrigi-la e rapidamente disponibiliza uma atualização com a correção.
Isso significa que, se você possui um website desatualizado, seu CMS possui “portas abertas” para invasões, cuja entrada já é de conhecimento de todos os interessados.
Arrisco a dizer que, na mesma velocidade em que programadores se empenham em aprimorar tais ferramentas, crackers se dedicam a se aproveitar de suas vulnerabilidades.
Por este motivo é tão importante mantermos tanto os gerenciadores de conteúdo quanto seus complementos sempre atualizados.
Esta é uma manutenção que minimiza os riscos de invasão, e dificulta o trabalho de espertalhões que se aproveitam de fragilidades para realizar suas ações.
2. Comunicação desprotegida entre site e servidor de hospedagem
Todos os sites que acessamos em nosso dia-a-dia precisam estar armazenados em computadores com recursos especiais, para que seja possível acessá-los por meio da internet em qualquer lugar do mundo. Tais computadores são chamados de servidores de hospedagem.
Sempre que abrimos um navegador como o Google Chrome e digitamos o endereço de um website, o navegador localiza em qual servidor a página desejada está hospedada e estabelece uma conexão com ele.
Por essa conexão trafegam dados como textos, imagens e vídeos que compõem a página, assim como, todos os dados enviados por usuários através de formulários, como por exemplo: nome, email, cpf/cnpj, endereço e dados de cartão de crédito.
Quando um website não se preocupa com elementos de segurança que mantenham essa conexão protegida, os dados fornecidos em formulários podem ser facilmente interceptados por terceiros no caminho entre navegador e servidor de hospedagem, deixando acessíveis, informações extremamente sensíveis de seus usuários.
Como saber se um site oferece conexão segura?
Em virtude da importância do assunto, desenvolvedores de navegadores como o Chrome, Firefox, Edge e Safari, passaram a investir em mecanismos para auxiliar seus usuários a navegar de maneira mais segura, indicando quais sites oferecem menos riscos e investem em mecanismos de proteção.
Essa indicação aparece no canto superior esquerdo do navegador, antes do endereço da página acessada, sinalizado através do ícone de um cadeado verde e da palavra “Seguro”, como você pode ver na imagem abaixo.
Essa indicação significa que o website possui um Certificado SSL (Secure Socket Layer), que permite a troca de informações protegendo e garantido a integridade do conteúdo que trafega entre página e servidor através de criptografia.
O que é um Certificado SSL e qual a sua importância?
Certificados SSL funcionam como uma espécie de “assinatura digital“, criptografando cada mensagem enviada entre navegador e servidor, fazendo com que somente os envolvidos sejam capazes de decifrar sobre o que cada uma delas se trata.
Mesmo que elas sejam interceptadas por terceiros, somente o remetente e o destinatário são capazes de interpretá-las, uma vez que é preciso a “assinatura digital” para decodificá-las e torná-las novamente legíveis.
Tentativas de interceptação desse tipo, também são identificadas mais facilmente em conexões SSL, pois as partes envolvidas são autenticadas e verificadas a cada comunicação.
Isso significa que você pode ter certeza de que está enviando informações para o servidor correto e não para um impostor que clonou o seu site e se passa por ele para roubar informações.
Outro ponto importante é que as páginas que possuem Certificado SSL são forçadas a utilizar um protocolo seguro de comunicação, o HTTPS, e não o HTTP que é comumente encontrado na maioria dos websites.
O HTTPS é responsável, dentre outras coisas, pela proteção contra ataques de phishing.
Os ataques de phishing acontecem geralmente da seguinte forma:
- A comunicação entre site e servidor é interceptada por terceiros, onde toda comunicação via formulários é coletada por invasores.
- Os invasores passam a enviar e-mails para as pessoas que tiveram seus dados roubados se passando pelo site da empresa. Aqui é importante ressaltar que é muito difícil, até mesmo aos mais experientes, perceber que se trata de um e-mail falso.
- A partir daqui os ataques variam. Novas informações podem ser solicitadas, trojans que controlam a máquina do destinatário podem ser enviados, etc.
Por que utilizar Certificado SSL em seu website?
Como você pode perceber no tópico anterior, websites que não possuem Certificado SSL são mais vulneráveis a ataques e invasões, colocando em risco não somente a integridade da página, mas também, a segurança dos seus visitantes.
É importante lembrar que o cenário pode ficar ainda mais grave quando a página não recebe corretamente atualizações em sua plataforma, no caso dos CMSs e seus plugins.
Porém, existem outros benefícios que não podemos deixar de citar, como por exemplo:
- Aumento da confiança e credibilidade da página: Como os navegadores passaram a sinalizar visualmente quais sites oferecem conexão segura, é natural que os usuários em geral, passem a depositar mais confiança em empresas que investem em sua proteção.
- Melhor posicionamento no ranking de buscas: Recentemente, ferramentas de busca como o Google, incluíram o uso de Certificados SSL como critério de avaliação, privilegiando em seus resultados, páginas que oferecem mais segurança aos seus usuários.
- Transação direta com operadoras de cartão de crédito: Possuir um Certificado SSL é pré-requisito para que um e-commerce, por exemplo, faça transações diretas com operadoras de cartão de crédito, sem que seja necessário utilizar gateways de pagamento como o PagSeguro, PayPal e Mercado Pago.
- Dados mais detalhados em ferramentas de Web Analytics: Algumas informações, como por exemplo, a indicação de páginas por terceiros através de links, são totalmente identificadas em ferramentas de Web Analytics em sites com Certificado SSL, possibilitando uma análise mais completa sobre o que acontece em um website.
Tipos de Certificado SSL
Existem atualmente no mercado, vários tipos de Certificados SSL, cada um oferecendo níveis de confiabilidade diferentes. Eles estão listados abaixo:
- Certificado SSL para validação de domínio: Validação em nível de domínio é o tipo mais básico de SSL. Estes certificados fornecem criptografia básica, são emitidos rapidamente, validando a propriedade de um domínio.
- Certificado SSL para validação da organização: Certificados SSL de validação de organização incluem a autenticação da empresa ou organização por trás do domínio. Isso proporciona um maior nível de segurança e permite que os clientes saibam que podem confiar em seu servidor com suas informações pessoais.
- Certificado SSL de validação estendida: A validação estendida é o certificado mais completo. Com a validação estendida, a autoridade responsável pela certificação realiza um exame profundo do website do negócio e de seu servidor de hospedagem antes de emitir o certificado. Este tipo de SSL fornece o mais alto grau de segurança e confiança ao usuário.
Como testar Certificados SSL?
Primeiramente, se você acessa a página do seu negócio e o endereço que aparece no navegador não começa com HTTPS, isso significa que o seu site não possui um Certificado SSL, e portanto, não transita dados de forma segura entre site e servidor.
Porém, mesmo possuindo um Certificado SSL, por inúmeros motivos, é possível que ele não esteja funcionando corretamente, e alguns testes devem ser realizados para que tenhamos a certeza da sua confiabilidade.
Um teste rápido, que você pode realizar agora mesmo, é escanear a sua página através da ferramenta de testes da Qualys, uma empresa de segurança fundada em 1999 e que possui um dos mais completos sistemas de checagem de SSL.
Para acessá-la basta clicar AQUI.
O processo é muito simples! Após acessar o link acima, basta preencher o campo HOSTNAME com o endereço do seu website e clicar em “submit”.
Caso o certificado SSL esteja funcionando corretamente, o resultado do teste deverá aparecer como na imagem abaixo:
Concluindo
A segurança na internet representa um grande desafio para empresas que possuem presença digital, especialmente para negócios que trafegam em seus websites informações financeiras e dados de usuários.
Uma violação de tais informações por pessoas má intencionadas pode criar enormes custos por responsabilidade, além de comprometer a confiança de clientes e potenciais consumidores.
Para se resguardar desses problemas, 2 passos são fundamentais e merecem total atenção.
O primeiro deles é manter a plataforma sob a qual o website foi desenvolvido sempre atualizada, assim como seus plugins.
O segundo é garantir com que as comunicações entre site e seu servidor de hospedagem ocorram de forma íntegra, sem a possibilidade de interceptação. Isso somente é possível através do uso de Certificados SSL.
Além disso, páginas que fazem uso de Certificados SSL ocupam melhores resultados em pesquisas realizadas em mecanismos de busca, possuindo assim, chances maiores de receberem visitas.
Fique atento… Forte abraço e até o próximo post!