Sites do governo brasileiro são vulneráveis a invasões
A série de ataques de hackers contra o Itamaraty trouxe à tona a vulnerabilidade do Brasil na internet. Segundo pesquisa recente da ADTsys, empresa especialista em segurança em ambientes de nuvem, os sites brasileiros estão, em média, vulneráveis a 72,5% de tipos comuns de ameaça na rede.
O estudo, realizado em dezembro de 2013, testou 40 portais, dispostos em quatro categorias: governamentais, e-commerce, corporativos e clubes de futebol. Para chegar ao resultado, a empresa submeteu os sites a diversas técnicas de vulnerabilidade, com o objetivo de constatar quais ataques eram ou não eficientes, mas sem realizar acessos não-autorizados ou alterações de dados.
Após os testes, todos os sites apresentaram alguma falha de segurança, sendo o grupo governamental o de maior vulnerabilidade. Em nove das dez páginas analisadas, por exemplo, há risco de captura de dados por meio de técnica conhecida por injeção de código. Nela, um hacker acrescenta um código a uma aplicação mal escrita e passa a ter acesso a informações, como senhas e logins.
No caso real do Itamaraty, a técnica escolhida no ataque foi o phishing, em que uma página ou e-mail falso é usado para obter informações sigilosas. Além desse, a pesquisa aponta que há outros tipos de intrusão a que os sites e usuários estão suscetíveis, como controle de acesso, quebra de autenticação e falsificação de solicitação.
“O Brasil está muito atrasado nos quesitos básicos de boas práticas de segurança”, afirma Pascoal Baldasso, sócio-fundador e diretor-executivo da ADTsys. Segundo ele, alguns problemas de proteção poderiam ser resolvidos com medidas simples. “Muitos sites nem sequer atualizam os sistemas operacionais e servidores de aplicação, que corrigem automaticamente as falhas já conhecidas”, diz.
Para diminuir os riscos na internet, Baldasso defende que o primeiro passo é ter consciência do crescente número de ameaças. “A nuvem deixou o ambiente globalizado, um hacker do Japão pode atacar um ambiente no Brasil”, argumenta.
A partir daí, os sites devem adotar preceitos básicos de segurança, como definir níveis de acesso ao banco de dados, evitar compartilhamento de senhas entre funcionários e transmitir informação com criptografia. Uma lista com mais de 600 itens de segurança é disponibilizada pela Open Web Application Security Project (OWASP), entidade sem fins lucrativos especialista no assunto.
Já os usuários devem estar atentos na hora de iniciar uma sessão. “É importante tratar a senha de acesso como se fosse a de um cartão de crédido: não dá para sair digitando em qualquer lugar”, diz Baldasso. Para evitar cair em armadilhas, a orientação é que dados pessoais só devem ser disponibilizados em sites com certificado de segurança, indicado por um item verde no campo do endereço da página.
Fonte: Estadão
- Metasploit Framework de cabo a rabo – Parte 6 - 4 de junho de 2018
- Metasploit Framework de cabo a rabo – Parte 5 - 28 de maio de 2018
- CEH – Scanning Networks – Parte 2 - 24 de maio de 2018
