Enquanto você lê este texto uma guerra cibernética ocorre e se expande em todo o mundo, com milhões de ataques contra servidores Web. Para ter uma ideia da dimensão, somente em 2015 a Cert.br recebeu 65.647 notificações de ataques, o que correspondeu ao aumento de 128% em relação a 2014. Miriam von Zuben analista sênior de segurança do CERT.br/NIC.br, que no dia 4 de julho fará a palestra “Mitigando os Riscos de Segurança em Aplicações Web”.
Instrutora dos cursos do CERT/CC, da Carnegie Mellon University e principal mantenedora da Cartilha de Segurança para Internet, Miriam afirma que as pequenas empresas de TI têm como oportunidade oferecer produtos de qualidade que sigam boas práticas de programação segura. “Esse pode ser um diferencial para pequenas empresas, pois, dessa forma, podem criar uma boa reputação no mercado, fidelizar os clientes atuais e conseguir novos clientes.
O CERT.br é o Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, mantido pelo NIC.br, do Comitê Gestor da Internet no Brasil. Além do processo de tratamento a incidentes em si, o CERT.br atua na conscientização sobre os problemas de segurança, na análise de tendências e correlação entre eventos na Internet brasileira e no auxílio ao estabelecimento de novos CSIRTs no Brasil.
Segundo Miriam, os principais riscos de segurança em aplicações Web são o furto de dados, os danos à imagem da empresa e dos usuários, a violação de privacidade e as perdas financeiras. Ela lembra que as principais formas de ataque contra servidores Web são as tentativas de adivinhação de senhas (força bruta), os ataques de negação de serviço (DoS) e as tentativas de exploração de vulnerabilidades. Em geral as principais motivações dos atacantes são a obtenção de ganhos financeiros, a coleta de dados pessoais e a instalação de artefatos maliciosos.
As principais recomendações para empresas se protegerem são manter uma política de senhas, contar com sistemas atualizados, investir no desenvolvimento seguro de suas aplicações e adotar medidas preventivas para mitigar os ataques de negação de serviço.
Vale lembrar, afirma Miriam, que os atacantes utilizam diferentes subterfúgios para enganar os usuários: “Costumam usar técnicas de engenharia social, como oferecer páginas falsas (phishing), enviar mensagens de contas/perfis falsos ou invadidos e propagar códigos maliciosos, principalmente trojans.”
A todos os usuários a especialista dá conselhos básicos para mitigação dos riscos, tais como ficar atento a mensagens recebidas em nome de alguma instituição que tentem induzi-lo a fornecer informações, instalar/executar programas ou clicar em links; questionar o motivo de instituições com as quais não tem contato enviar mensagens, como se já houvesse alguma relação prévia; ficar atento a mensagens que apelem demasiadamente pela atenção e que, de alguma forma, ameacem caso os procedimentos descritos não sejam executados; não considerar que uma mensagem é confiável com base na confiança depositada em seu remetente, pois ela pode ter sido enviada de contas invadidas, de perfis falsos ou ter sido forjada.
Mais dicas de segurança para usuários estão disponíveis na Cartilha Segurança para Internet.
Fonte: IAA Comunicação