VULNERABILIDADES
QUE PODEM PREJUDICAR O SEU SITE
CONHECIMENTO É PODER:
O GUIA DA SYMANTEC PARA PROTEGER O SEU SITE
CONTEÚDO
Vulnerabilidades que podem prejudicar o seu site 3
Uma falsa sensação de segurança pode trazer custos para você 4
O que você pode fazer? 5
Como uma vulnerabilidade pode prejudicar o seu site
6
A batalha é maior do que você pensa
7
Não há como se esconder atrás do seu tamanho 8
O conhecimento é poder para o seu cliente também
9
p. 2
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Vulnerabilidades que podem prejudicar
o seu site
Em 2012, a Symantec realizou mais
de 1.400 verificações de vulnerabilidade de sites todos os dias. Mais
da metade dos sites verificados
não tinha patches e apresentava
vulnerabilidades potencialmente
exploráveis. Dos sites vulneráveis,
um terço estava realmente infectado
com malware que poderia infectar
os visitantes e fazer com que os sites
ingressassem na lista negra dos mecanismos de busca. Esses números
mostram que milhões de sites legítimos estão correndo risco de ataque e
exploração graves por criminosos de
Internet todos os dias.
Apesar disso, um terço das empresas
pesquisadas pela Symantec em “A
lacuna no conhecimento de vulnerabilidades” afirma presumir que seus
sites são muito seguros, embora não
tenham verificado de fato os sites
em busca de vulnerabilidades ou
infecções1.
Você estaria tão confiante sobre a segurança de seu
dinheiro se seu banco acidentalmente divulgasse os
detalhes de metade das contas sob sua responsabilidade?
O problema é que muitas empresas simplesmente não
entendem o risco que seu site representa para os seus
negócios e o quão vulnerável seus sites estão sem a
segurança e o monitoramento apropriados.
Por que as suas vulnerabilidades importam
Por que criminosos atacam sites? Porque é lá que o
dinheiro está. Em 2002, as vendas de e-commerce
somaram US$ 72 bilhões. Dez anos mais tarde, esse
número aumentou para US$ 225,5 bilhões. Em torno
de 2,7 bilhões de pessoas usam a Internet em 2013, o
que representa praticamente a metade da população
mundial2. Corromper sites dá aos criminosos o acesso
aos visitantes, bem como aos dados e ao dinheiro deles.
A primeira lacuna de conhecimento com a qual você
tem que lidar é compreender por que os seus negócios e o seu site são tão atraentes para os criminosos
cibernéticos. Embora compreender as vulnerabilidades
baseadas em tecnologia e processos seja importante,
para proteger-se contra elas você precisa entender o
risco que elas representam e a probabilidade de que
eles sejam exploradas.
A sua ignorância é a felicidade deles
Sites não são alvos atraentes apenas pelo o que
os criminosos podem ganhar. A forma como podem
ganhar também importa. Os sites e os servidores que os
hospedam possuem inúmeras vulnerabilidades inerentes, o que muitos proprietários desconhecem, e isso os
torna alvos fáceis.
Hospedar sites, por um lado, é muito fácil. Você paga
uma empresa de hospedagem e publica o seu site. Por
outro lado, trata-se de um processo muito complexo,
com várias camadas de software e de hardware, e todas
elas precisam funcionar corretamente para manter o
seu site seguro. Como parece tão simples, presumir que
tudo está funcionando bem costuma ser fácil. Como as
tecnicidades são difíceis, é fácil fechar os olhos e esperar que outra pessoa cuide de tudo para você.
p. 3
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Uma falsa sensação de segurança pode
trazer custos para você
Uma das vulnerabilidades com maior probabilidade de
ser explorada em um site é o cross-site scripting (XSS);
apesar disso, as empresas pesquisadas pela Symantec a
classificaram como a menos provável. A vulnerabilidade
mais temida foram os ataques de força bruta, onde os
hackers tentam invadir os servidores que hospedam
os sites. Esse tipo de ataque é mais raro, mas é o que
vemos na TV e nos filmes; portanto, eles parecem mais
prováveis3. O seu site tem muito mais probabilidade de
ser vítima de um botnet que verifica milhares de sites em
busca de vulnerabilidades conhecidas do que de atrair
um grande hacker.
Onde estão os seus pontos fracos?
“Uma única vulnerabilidade em um aplicativo pode
representar um risco crítico para uma organização, caso
seja explorada com sucesso”, de acordo com o Website
Security Threat Security Report (WSTR) da Symantec4.
Em 2012, havia 5.291 vulnerabilidades relatadas, acima
das 4.989 de 20115. Elas não são incomuns ou raras,
e cada uma é igualmente ameaçadora para os seus
negócios; por isso, compreender os tipos mais comuns
de vulnerabilidade que o seu site enfrenta é vital:
Informações incorretas são tão perigosas quanto a falta
total de informações, já que elas não apenas disfarçam
as reais vulnerabilidades mas também acarretam
desperdício de dinheiro, uma vez que as empresas
direcionam seus recursos para alvos errados.
Em 2012
5.291 vulnerabilidades
foram relatadas,
em comparação a
4.989 vulnerabilidades
relatadas em 2011
p. 4
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
O que você pode fazer?
Vulnerabilidade
O que é?
O que você pode fazer?
Servidores sem
patches
O índice de descoberta de novas vulnerabilidades
foi de apenas 6% no último ano, mas os ataques
a sites comprometidos aumentou 30%. "Resumindo, são vulnerabilidades mais antigas, sem
patches, que comprometem a maioria dos sistemas", de acordo com a pesquisa da Symantec.
Assim como em um PC, se você não mantiver o
servidor de seu site atualizado e com patches, estará
correndo riscos.
Vulnerabilidades
de autorização
Senhas fracas, nomes de usuário administrador
comprometidos, configurações padrão não
alteradas no hardware da rede e software comum
deixam os sistemas abertos a ataques por pessoas que fingem ser usuários legítimos.
Imponha uma política de senha forte e controles
de acesso robustos, idealmente com autenticação
de dois fatores. Garanta que todas as senhas e
configurações de hardware e software recentemente
implantadas sejam verificadas e alteradas, se
necessário. Na medida do possível, limite o acesso
de administrador a pessoas confiáveis e avaliadas,
de acordo com o sistema.
Cross-site
scripting
Cross-site scripting significa injetar código de
um site (que pertence aos criminosos) em outro
site (que pertence a você). Isso permite que os
criminosos da Internet executem seu próprio
código em seu site para atacar ou infectar
visitantes, ou para enganá-los para revelar
informações valiosas, como senhas.
Sempre mantenha o software do servidor
da Web atualizado para bloquear quaisquer
vulnerabilidades conhecidas contra essa forma
de ataque e, quanto ao código personalizado,
garanta que todas as entradas sejam validadas
corretamente. Faça verificações de malware
regulares em seus sites em busca de alterações e
adições inesperadas.
Ataques de
força bruta
Como indica o nome, esses ataques simplesmente tentam todas as probabilidades de
senha e criptografia até quebrar o código para
invadir o seu site.
Mude regularmente as senhas do servidor e do
sistema de gerenciamento de conteúdo e mantenha todos os seus dados criptografados.
O pior tipo de ataque ocorre quando os hackers
conseguem acesso a seus dados criptografados
e não estão restritos por tentativas de login
limitadas online.
Esse tipo de ataque é comum, com sites
grandes relatando 500 tentativas de ataques
de força bruta por hora6.
Explorações de
dia zero
Essas são vulnerabilidades que ninguém conhece
até que um criminoso comece a explorá-las. O
ataque começa no “dia zero” de conscientização
do risco, e os números cresceram no último ano,
quando 14 novas vulnerabilidades de dia zero
foram expostas. Nos primeiros três meses de
2013, a Symantec observou 11 vulnerabilidades
de dia zero afetando Oracle Java, Adobe Flash,
Adobe Reader e Microsoft Internet Explorer7.
A verificação de vulnerabilidades automática,
regular e gratuita em toda compra de certificados
Symantec Extended Validation ou Pro SSL mantém
você informado de vulnerabilidades sem patches.
Garanta o uso de métodos de criptografia atualizados, já que algoritmos antigos têm fraquezas
conhecidas fáceis de ser exploradas.
Se o seu site tiver um portal de login para clientes,
garanta que haja um limite no número de logins
que as pessoas podem tentar e bloqueie as
pessoas que tentarem fazer login com muitas
senhas diferentes de uma vez. O software do
servidor normalmente vem com essa funcionalidade, mas certifique-se de garantir a segurança.
Se você hospeda seu próprio site, precisa de procedimentos de resposta para minimizar o impacto de um
ataque como esse. Garanta que todos os aplicativos
estejam atualizados com os patches de segurança
mais recentes. Embora uma exploração de dia zero
não possa receber patches, as atualizações mais
recentes darão proteção contra vulnerabilidades
divulgadas anteriormente.
A verificação de vulnerabilidades automática e
regular, tal como a obtida com certificados Symantec
SSL, ajudará você a identificar fraquezas o mais cedo
possível, assim que forem expostas.
p. 5
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Como uma vulnerabilidade pode
prejudicar o seu site
Seu site é um vínculo entre você e os seus clientes. Isso significa que
criminosos podem explorar suas vulnerabilidades de três maneiras principais:
1. 2. 3. Acessar as informações e desligar seu servidor. Você tem todos os tipos de informações armazenadas no
servidor de seu site, como detalhes e senhas de clientes. O poder do servidor também representa um recurso
potencial de força computacional para criminosos distribuírem malware. O acesso ao seu servidor significa
violações de dados, perda de confiança e a destruição dos negócios, e é por isso que a verificação regular de
vulnerabilidades é tão importante.
Interceptar informações trocadas entre você e os seus visitantes. Informações estão constantemente
sendo passadas de um lado para outro entre seus visitantes e o seu site. A menos que haja certificados SSL
atualizados que criptografem essas informações, você e seus visitantes estarão em risco de ataques “manin-the-middle”. Muitos sites, como o Facebook e o Google, implementaram o Always-On SSL, o que significa
que, independentemente de seu visitante ter passado ou não por uma página de login, todas as comunicações
entre o site o servidor serão criptografadas8.
Implantar malware nos dispositivos de seu visitante. Se um criminoso cibernético tiver conseguido injetar
código JavaScript oculto ou algumas linhas de código vinculadas a outro site que possa instalar malware,
todos os visitantes de seu site e o dispositivo que usam para acessá-lo estarão em risco. Esse código malicioso
procura por vulnerabilidades no dispositivo do visitante e, se encontrá-las, baixará malware que registra
seus pressionamentos de tecla, acessa seus arquivos, bloqueia seu sistema ou usa sua força computacional
para distribuir ainda mais o malware.
Acessar as
informações e
desligar seu servidor
p. 6
Interceptar
informações trocadas
entre você e os seus
visitantes
Implantar malware
nos dispositivos de
seu visitante
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
A batalha é maior do que você pensa
As vulnerabilidades de site são complexas, e tirar vantagem delas não é
necessariamente simples. Entretanto,
existem vários criminosos cibernéticos e gangues empresariais que
desenvolvem e vendem toolkits. Esses
toolkits incluem informações sobre
vulnerabilidades conhecidas e o código necessário para tirar vantagem
delas, e eles são muito populares. Isso
significa que um grupo muito maior
de criminosos menos habilidosos tem
a capacidade de explorar e atacar o
seu site, simplesmente comprando
ou roubando esses toolkits. Em 2012,
por exemplo, um único toolkit, o
Blackhole, contabilizou 41% de todos
os ataques de toolkit baseados na
Web.
Quando acontece com você
Falar sobre vulnerabilidades em termos abstratos é fácil,
mas o impacto dos ataques baseados na Web são muito
reais. Você pode descobrir mais sobre a mecânica do
malware em nosso informe oficial9 “Como o malware
funciona”, mas alguns exemplos recentes do mundo real
provam apenas como as vulnerabilidades podem ser
perigosas:
• Ataques de injeção de SQL. O recente Web
Application Attack Report (WAAR) da Imperva mostra
que, enquanto um aplicativo Web típico enfrentou 12
dias por mês nos quais ocorreu pelo menos um incidente
de ataque, o pior caso detectou 176 dias como esses no
período de observação de seis meses, o que significa que
eles foram atacados praticamente todos os dias. “A lição
é que essas organizações devem basear as medidas de
segurança no pior cenário, e não na média”, conclui o
relatório10.
• Dados não criptografados. Kashmir Hill, uma
repórter da Forbes, conseguiu não somente encontrar
uma lista de imóveis com uma marca específica de software de automação doméstica, mas também conseguiu
invadir esse software e controlar dispositivos eletrônicos
remotamente – a partir de uma pesquisa do Google.
Nenhum nome de usuário ou senha foi necessário para
acessar o sistema, e a lista de clientes não foi bloqueada
no crawling do mecanismo de busca; assim, ela achou a
lista facilmente depois de uma rápida pesquisa11.
• Ataques de dia zero. Em maio de 2013, foi disponibilizada uma exploração de dia zero do kernel do Linux, o
que foi potencialmente desastroso para hosts da Web.
Foram necessárias reinicializações de sistema, o que
tirou muitos sites do ar sem aviso12.
p. 7
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Não há como se esconder atrás
do seu tamanho
Embora as grandes empresas potencialmente tenham a chave dos maiores cofres, isso não significa que ser
pequeno é estar seguro. Na verdade,
de acordo com a pesquisa sobre a
lacuna no conhecimento de vulnerabilidades da Symantec, proprietários de pequenas empresas são menos informados sobre a segurança
de seu site do que os proprietários
de grandes organizações. Isso os
coloca em risco significativo quando
se considera que praticamente um
terço dos ataques direcionados em
2012 tinha como alvo empresas
com apenas 1 a 250 funcionários13.
As pessoas e os processos representam
uma vulnerabilidade também
Proteger-se a si mesmo contra vulnerabilidades de
site vai além da tecnologia. Você precisa treinar toda a
equipe quanto aos riscos de ataques de phishing ou engenharia social a fim de proteger o acesso a servidores
e sistemas de gerenciamento de conteúdo. Além disso,
você precisa de processos rigorosos de atualização de
senhas.
A Symantec tem uma ampla gama de soluções que
ajudam as empresas a gerenciar seus certificados SSL
de forma eficaz. Essas ferramentas ajudam os gerentes
de sites a manter o controle de seus certificados SSL
e a receber avisos precisos sobre datas de expiração
futuras. Elas também podem gerenciar a verificação de
malware e as avaliações de vulnerabilidade automatizadas discutidas neste informe (dependendo do tipo
de certificado que você usa). A Symantec também tem
ferramentas como o Certificate Intelligence Center que
ajudam a monitorar e automatizar o gerenciamento
de certificados em empresas que tenham um grande
número de certificados SSL.
9%
1.501 a 2.500
2%
3%
1.001 a 1.500
501 a 1.000
5%
251 a 500
13%
de aumento
31%
18%
em 2011
1 a 250 funcionários
quase um terço dos ataques direcionados
de 2012 tinha como alvo empresas com
apenas 1-250 funcionários.
2012
p. 8
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
conhecimento é poder para
o seu cliente também
Seus clientes e os visitantes do site
podem não estar totalmente informados quanto às vulnerabilidades
do site, mas eles sabem que os sites
representam riscos significativos para
seus dados e dispositivos pessoais.
Eles estão em busca de sinais de que
você conhece os perigos e está fazendo tudo o que pode para protegê-los.
Os certificados Extended Validation (EV) SSL, por exemplo, conduzem você e o seu site por um rigoroso procedimento de autenticação que prova que você é quem diz
que é. Os visitantes do site veem prova disso na forma de
uma barra de endereços verde em seu site. Esse pequeno
sinal de garantia pode significar muito: sites protegidos
por EV informam aumentos de 10% ou mais em taxas de
cliques de comprador14.
Identified by Norton
O WSTR da Symantec também concluiu que, em 2012,
mais consumidores visitaram sites com marcas de
segurança como o selo Norton Secured, que é a marca de
segurança mais reconhecida na Internet15. Tirar vantagem
da tecnologia Symantec Seal-in-Search significa que os
visitantes podem ter certeza da segurança de seu site
antes de chegarem nele, pois os mecanismos de busca
exibirão o selo Norton Secured ao lado do nome de seu
site nos resultados de pesquisa. Assim, as pessoas veem o
seu site como mais confiável antes mesmo de clicar para
visitá-lo.
p. 9
O parceiro certo soma forças com você
Quando se trata de vulnerabilidades de site, certamente
conhecimento é poder. Escolher o parceiro de segurança
certo para proteger e monitorar essas vulnerabilidades é o
que agrega esse valor extra contra os criminosos cibernéticos.
A Symantec oferece uma ampla gama de Website Security
Solutions, incluindo o EV, uma seleção de algoritmos de
criptografia diferentes e a verificação de vulnerabilidades
e de malware. A prova do nosso poder está nos altos
padrões que temos para a nossa própria segurança: por
exemplo, temos processos de autenticação auditados
pela KPMG e data centers de nível militar para a nossa
infraestrutura SSL e PKI.
O Web Site Malware Scanning da Symantec adiciona uma
segunda linha de defesa e uma verificação externa útil.
Tudo isso fará parte do serviço se você escolher os certificados Symantec SSL, e você poderá evitar a surpresa
desagradável de ser incluído inesperadamente na lista
negra de um mecanismo de busca.
Com a Symantec, você tem um parceiro de segurança
conhecido e bem equipado que pode manter o seu site e
os negócios por trás dele seguros e confiáveis.
Para saber mais sobre as Symantec Website Security
Solutions, visite www.symantec.com/pt/br/ssl
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Referências
1.
valiação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria,
A
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
2. The Internet then and now (A Internet antes e depois) por WhoIsHostingThis?
http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.
3. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria,
https://www.symantec-wss.com/campaigns/14601/pl/assets/VA-WhitePaper-PTBR.pdf
4. Relatório da Symantec sobre ameaças de segurança de sites em 2013,
https://www.symantec-wss.com/ptbr
5. Avaliação de vulnerabilidades da Symantec – você se sente vulnerável? Você deveria,
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
6. Synthesis, “WP Sites Under Attack Across the Globe!!!” (Synthesis, Sites WP sob ataque em todo o mundo!)
http://websynthesis.com/wp-bruce-force-protection/
7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities
8. “Facebook implements Always-On SSL” (O Facebook implementa o Always-On SSL)
http://www.symantec.com/connect/blogs/facebook-implements-always-ssl
9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf
10. “Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute” (O varejo sofre duas vezes mais ataques de injeção de SQL do que outros setores; um aplicativo atacado em uma média de 26 vezes por minuto)
http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/
11. Hacking Smart Homes (Invadindo domicílios inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes
12. Synthesis, “How We Kept You Safe During Yesterday’s Zero-Day Security Emergency” (Synthesis, Como mantivemos você seguro durante a emergência de segurança de dia zero de ontem)
http://websynthesis.com/zero-day-linux-exploit/
13. Relatório da Symantec sobre ameaças de segurança de sites em 2013,
https://www.symantec-wss.com/ptbr
14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html acessado em 10 de setembro de 2013
15. Pesquisa internacional sobre o consumidor online do Symantec WSS: Estados Unidos, Alemanha, Reino Unido, julho de 2012
p. 10
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
SOBRE A SYMANTEC
As Symantec Website Security Solutions incluem o gerenciamento
de certificados SSL líderes do setor, a avaliação de vulnerabilidades
e a verificação de malware. O Norton™ Secured Seal e a Symantec
Seal-in-Search garantem a seus clientes que eles estão seguros ao
pesquisar, navegar e comprar.
Mais informações disponíveis em www.symantec.com/pt/br/ssl
Symantec
Symantec Website
Website Security
Security Solutions
Solutions
Vulnerabilidades
que Security
podem prejudicar
o seu2013
site
Website
Threat Report