VULNERABILIDADES QUE PODEM PREJUDICAR O SEU SITE p. 2 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Vulnerabilidades que podem prejudicar o seu site 3 Uma falsa sensao de segurana pode trazer custos para voc 4 O que voc pode fazer? 5 Como uma vulnerabilidade pode prejudicar o seu site 6 A batalha maior do que voc pensa 7 No h como se esconder atrs do seu tamanho 8 O conhecimento poder para o seu cliente tambm 9 CONTEDO p. 3 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Em 2012, a Symantec realizou mais de 1.400 verificaes de vulnerabi- lidade de sites todos os dias. Mais da metade dos sites verificados no tinha patches e apresentava vulnerabilidades potencialmente explorveis. Dos sites vulnerveis, um tero estava realmente infectado com malware que poderia infectar os visitantes e fazer com que os sites ingressassem na lista negra dos me- canismos de busca. Esses nmeros mostram que milhes de sites legti- mos esto correndo risco de ataque e explorao graves por criminosos de Internet todos os dias. Apesar disso, um tero das empresas pesquisadas pela Symantec em A lacuna no conhecimento de vulnera- bilidades afirma presumir que seus sites so muito seguros, embora no tenham verificado de fato os sites em busca de vulnerabilidades ou infeces 1 . Voc estaria to confiante sobre a segurana de seu dinheiro se seu banco acidentalmente divulgasse os detalhes de metade das contas sob sua responsabi- lidade? O problema que muitas empresas simplesmente no entendem o risco que seu site representa para os seus negcios e o quo vulnervel seus sites esto sem a segurana e o monitoramento apropriados. Por que as suas vulnerabilidades importam Por que criminosos atacam sites? Porque l que o dinheiro est. Em 2002, as vendas de e-commerce somaram US$ 72 bilhes. Dez anos mais tarde, esse nmero aumentou para US$ 225,5 bilhes. Em torno de 2,7 bilhes de pessoas usam a Internet em 2013, o que representa praticamente a metade da populao mundial 2 . Corromper sites d aos criminosos o acesso aos visitantes, bem como aos dados e ao dinheiro deles. A primeira lacuna de conhecimento com a qual voc tem que lidar compreender por que os seus neg- cios e o seu site so to atraentes para os criminosos cibernticos. Embora compreender as vulnerabilidades baseadas em tecnologia e processos seja importante, para proteger-se contra elas voc precisa entender o risco que elas representam e a probabilidade de que eles sejam exploradas. A sua ignorncia a felicidade deles Sites no so alvos atraentes apenas pelo o que os criminosos podem ganhar. A forma como podem ganhar tambm importa. Os sites e os servidores que os hospedam possuem inmeras vulnerabilidades ineren- tes, o que muitos proprietrios desconhecem, e isso os torna alvos fceis. Hospedar sites, por um lado, muito fcil. Voc paga uma empresa de hospedagem e publica o seu site. Por outro lado, trata-se de um processo muito complexo, com vrias camadas de software e de hardware, e todas elas precisam funcionar corretamente para manter o seu site seguro. Como parece to simples, presumir que tudo est funcionando bem costuma ser fcil. Como as tecnicidades so difceis, fcil fechar os olhos e espe- rar que outra pessoa cuide de tudo para voc. VULNERABILIDADES QUE PODEM PREJUDICAR O SEU SITE p. 4 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Uma das vulnerabilidades com maior probabilidade de ser explorada em um site o cross-site scripting (XSS); apesar disso, as empresas pesquisadas pela Symantec a classificaram como a menos provvel. A vulnerabilidade mais temida foram os ataques de fora bruta, onde os hackers tentam invadir os servidores que hospedam os sites. Esse tipo de ataque mais raro, mas o que vemos na TV e nos filmes; portanto, eles parecem mais provveis 3 . O seu site tem muito mais probabilidade de ser vtima de um botnet que verifica milhares de sites em busca de vulnerabilidades conhecidas do que de atrair um grande hacker. Informaes incorretas so to perigosas quanto a falta total de informaes, j que elas no apenas disfaram as reais vulnerabilidades mas tambm acarretam desperdcio de dinheiro, uma vez que as empresas direcionam seus recursos para alvos errados.
Onde esto os seus pontos fracos? Uma nica vulnerabilidade em um aplicativo pode representar um risco crtico para uma organizao, caso seja explorada com sucesso, de acordo com o Website Security Threat Security Report (WSTR) da Symantec 4 . Em 2012, havia 5.291 vulnerabilidades relatadas, acima das 4.989 de 2011 5 . Elas no so incomuns ou raras, e cada uma igualmente ameaadora para os seus negcios; por isso, compreender os tipos mais comuns de vulnerabilidade que o seu site enfrenta vital: UMA FALSA SENSAO DE SEGURANA PODE TRAZER CUSTOS PARA VOC Em 2012 5.291 vulnerabilidades foram relatadas, em comparao a 4.989 vulnerabilidades relatadas em 2011 p. 5 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site O QUE VOC PODE FAZER? Vulnerabilidade O que ? O que voc pode fazer? Servidores sem patches O ndice de descoberta de novas vulnerabilidades foi de apenas 6% no ltimo ano, mas os ataques a sites comprometidos aumentou 30%. "Resu- mindo, so vulnerabilidades mais antigas, sem patches, que comprometem a maioria dos siste- mas", de acordo com a pesquisa da Symantec. Assim como em um PC, se voc no mantiver o servidor de seu site atualizado e com patches, estar correndo riscos. A verificao de vulnerabilidades automtica, regular e gratuita em toda compra de certificados Symantec Extended Validation ou Pro SSL mantm voc informado de vulnerabilidades sem patches. Vulnerabilidades de autorizao Senhas fracas, nomes de usurio administrador comprometidos, configuraes padro no alteradas no hardware da rede e software comum deixam os sistemas abertos a ataques por pes- soas que fingem ser usurios legtimos. Imponha uma poltica de senha forte e controles de acesso robustos, idealmente com autenticao de dois fatores. Garanta que todas as senhas e configuraes de hardware e software recentemente implantadas sejam verificadas e alteradas, se necessrio. Na medida do possvel, limite o acesso de administrador a pessoas confiveis e avaliadas, de acordo com o sistema. Cross-site scripting Cross-site scripting significa injetar cdigo de um site (que pertence aos criminosos) em outro site (que pertence a voc). Isso permite que os criminosos da Internet executem seu prprio cdigo em seu site para atacar ou infectar visitantes, ou para engan-los para revelar informaes valiosas, como senhas. Sempre mantenha o software do servidor da Web atualizado para bloquear quaisquer vulnerabilidades conhecidas contra essa forma de ataque e, quanto ao cdigo personalizado, garanta que todas as entradas sejam validadas corretamente. Faa verificaes de malware regulares em seus sites em busca de alteraes e adies inesperadas. Ataques de fora bruta Como indica o nome, esses ataques simples- mente tentam todas as probabilidades de senha e criptografia at quebrar o cdigo para invadir o seu site. O pior tipo de ataque ocorre quando os hackers conseguem acesso a seus dados criptografados e no esto restritos por tentativas de login limitadas online. Esse tipo de ataque comum, com sites grandes relatando 500 tentativas de ataques de fora bruta por hora 6 . Mude regularmente as senhas do servidor e do sistema de gerenciamento de contedo e man- tenha todos os seus dados criptografados. Garanta o uso de mtodos de criptografia atuali- zados, j que algoritmos antigos tm fraquezas conhecidas fceis de ser exploradas. Se o seu site tiver um portal de login para clientes, garanta que haja um limite no nmero de logins que as pessoas podem tentar e bloqueie as pessoas que tentarem fazer login com muitas senhas diferentes de uma vez. O software do servidor normalmente vem com essa funcionali- dade, mas certifique-se de garantir a segurana. Exploraes de dia zero Essas so vulnerabilidades que ningum conhece at que um criminoso comece a explor-las. O ataque comea no dia zero de conscientizao do risco, e os nmeros cresceram no ltimo ano, quando 14 novas vulnerabilidades de dia zero foram expostas. Nos primeiros trs meses de 2013, a Symantec observou 11 vulnerabilidades de dia zero afetando Oracle Java, Adobe Flash, Adobe Reader e Microsoft Internet Explorer 7 . Se voc hospeda seu prprio site, precisa de procedi- mentos de resposta para minimizar o impacto de um ataque como esse. Garanta que todos os aplicativos estejam atualizados com os patches de segurana mais recentes. Embora uma explorao de dia zero no possa receber patches, as atualizaes mais recentes daro proteo contra vulnerabilidades divulgadas anteriormente. A verificao de vulnerabilidades automtica e regular, tal como a obtida com certificados Symantec SSL, ajudar voc a identificar fraquezas o mais cedo possvel, assim que forem expostas. p. 6 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site 1. Acessar as informaes e desligar seu servidor. Voc tem todos os tipos de informaes armazenadas no servidor de seu site, como detalhes e senhas de clientes. O poder do servidor tambm representa um recurso potencial de fora computacional para criminosos distriburem malware. O acesso ao seu servidor significa violaes de dados, perda de confiana e a destruio dos negcios, e por isso que a verificao regular de vulnerabilidades to importante. 2. Interceptar informaes trocadas entre voc e os seus visitantes. Informaes esto constantemente sendo passadas de um lado para outro entre seus visitantes e o seu site. A menos que haja certificados SSL atualizados que criptografem essas informaes, voc e seus visitantes estaro em risco de ataques man- in-the-middle. Muitos sites, como o Facebook e o Google, implementaram o Always-On SSL, o que significa que, independentemente de seu visitante ter passado ou no por uma pgina de login, todas as comunicaes entre o site o servidor sero criptografadas 8 . 3. Implantar malware nos dispositivos de seu visitante. Se um criminoso ciberntico tiver conseguido injetar cdigo JavaScript oculto ou algumas linhas de cdigo vinculadas a outro site que possa instalar malware, todos os visitantes de seu site e o dispositivo que usam para acess-lo estaro em risco. Esse cdigo malicioso procura por vulnerabilidades no dispositivo do visitante e, se encontr-las, baixar malware que registra seus pressionamentos de tecla, acessa seus arquivos, bloqueia seu sistema ou usa sua fora computacional para distribuir ainda mais o malware. COMO UMA VULNERABILIDADE PODE PREJUDICAR O SEU SITE Seu site um vnculo entre voc e os seus clientes. Isso significa que criminosos podem explorar suas vulnerabilidades de trs maneiras principais: Acessar as informaes e desligar seu servidor Interceptar informaes trocadas entre voc e os seus visitantes Implantar malware nos dispositivos de seu visitante p. 7 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site As vulnerabilidades de site so com- plexas, e tirar vantagem delas no necessariamente simples. Entretanto, existem vrios criminosos cibern- ticos e gangues empresariais que desenvolvem e vendem toolkits. Esses toolkits incluem informaes sobre vulnerabilidades conhecidas e o c- digo necessrio para tirar vantagem delas, e eles so muito populares. Isso significa que um grupo muito maior de criminosos menos habilidosos tem a capacidade de explorar e atacar o seu site, simplesmente comprando ou roubando esses toolkits. Em 2012, por exemplo, um nico toolkit, o Blackhole, contabilizou 41% de todos os ataques de toolkit baseados na Web. Quando acontece com voc Falar sobre vulnerabilidades em termos abstratos fcil, mas o impacto dos ataques baseados na Web so muito reais. Voc pode descobrir mais sobre a mecnica do malware em nosso informe oficial 9 Como o malware funciona, mas alguns exemplos recentes do mundo real provam apenas como as vulnerabilidades podem ser perigosas: Ataques de injeo de SQL. O recente Web Application Attack Report (WAAR) da Imperva mostra que, enquanto um aplicativo Web tpico enfrentou 12 dias por ms nos quais ocorreu pelo menos um incidente de ataque, o pior caso detectou 176 dias como esses no perodo de observao de seis meses, o que significa que eles foram atacados praticamente todos os dias. A lio que essas organizaes devem basear as medidas de segurana no pior cenrio, e no na mdia, conclui o relatrio 10 . Dados no criptografados. Kashmir Hill, uma reprter da Forbes, conseguiu no somente encontrar uma lista de imveis com uma marca especfica de soft- ware de automao domstica, mas tambm conseguiu invadir esse software e controlar dispositivos eletrnicos remotamente a partir de uma pesquisa do Google. Nenhum nome de usurio ou senha foi necessrio para acessar o sistema, e a lista de clientes no foi bloqueada no crawling do mecanismo de busca; assim, ela achou a lista facilmente depois de uma rpida pesquisa 11 . Ataques de dia zero. Em maio de 2013, foi disponibi- lizada uma explorao de dia zero do kernel do Linux, o que foi potencialmente desastroso para hosts da Web. Foram necessrias reinicializaes de sistema, o que tirou muitos sites do ar sem aviso 12 . A BATALHA MAIOR DO QUE VOC PENSA p. 8 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Embora as grandes empresas poten- cialmente tenham a chave dos maio- res cofres, isso no significa que ser pequeno estar seguro. Na verdade, de acordo com a pesquisa sobre a lacuna no conhecimento de vulnera- bilidades da Symantec, proprietri- os de pequenas empresas so me- nos informados sobre a segurana de seu site do que os proprietrios de grandes organizaes. Isso os coloca em risco significativo quando se considera que praticamente um tero dos ataques direcionados em 2012 tinha como alvo empresas com apenas 1 a 250 funcionrios 13 . As pessoas e os processos representam uma vulnerabilidade tambm Proteger-se a si mesmo contra vulnerabilidades de site vai alm da tecnologia. Voc precisa treinar toda a equipe quanto aos riscos de ataques de phishing ou en- genharia social a fim de proteger o acesso a servidores e sistemas de gerenciamento de contedo. Alm disso, voc precisa de processos rigorosos de atualizao de senhas. A Symantec tem uma ampla gama de solues que ajudam as empresas a gerenciar seus certificados SSL de forma eficaz. Essas ferramentas ajudam os gerentes de sites a manter o controle de seus certificados SSL e a receber avisos precisos sobre datas de expirao futuras. Elas tambm podem gerenciar a verificao de malware e as avaliaes de vulnerabilidade automa- tizadas discutidas neste informe (dependendo do tipo de certificado que voc usa). A Symantec tambm tem ferramentas como o Certificate Intelligence Center que ajudam a monitorar e automatizar o gerenciamento de certificados em empresas que tenham um grande nmero de certificados SSL. NO H COMO SE ESCONDER ATRS DO SEU TAMANHO 251 a 500 501 a 1.000 1.001 a 1.500 1.501 a 2.500 1 a 250 funcionrios quase um tero dos ataques direcionados de 2012 tinha como alvo empresas com apenas 1-250 funcionrios. 1 a 250 funcionrios quase um tero dos ataques direcionados de 2012 tinha como alvo empresas com apenas 1-250 funcionrios. 18% em 2011 13% de aumento 31% 31% 9% 3% 2% 5% 2012 p. 9 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site Seus clientes e os visitantes do site podem no estar totalmente infor- mados quanto s vulnerabilidades do site, mas eles sabem que os sites representam riscos significativos para seus dados e dispositivos pessoais. Eles esto em busca de sinais de que voc conhece os perigos e est fazen- do tudo o que pode para proteg-los. Os certificados Extended Validation (EV) SSL, por exem- plo, conduzem voc e o seu site por um rigoroso procedi- mento de autenticao que prova que voc quem diz que . Os visitantes do site veem prova disso na forma de uma barra de endereos verde em seu site. Esse pequeno sinal de garantia pode significar muito: sites protegidos por EV informam aumentos de 10% ou mais em taxas de cliques de comprador 14 . O WSTR da Symantec tambm concluiu que, em 2012, mais consumidores visitaram sites com marcas de segurana como o selo Norton Secured, que a marca de segurana mais reconhecida na Internet 15 . Tirar vantagem da tecnologia Symantec Seal-in-Search significa que os visitantes podem ter certeza da segurana de seu site antes de chegarem nele, pois os mecanismos de busca exibiro o selo Norton Secured ao lado do nome de seu site nos resultados de pesquisa. Assim, as pessoas veem o seu site como mais confivel antes mesmo de clicar para visit-lo. O parceiro certo soma foras com voc Quando se trata de vulnerabilidades de site, certamente conhecimento poder. Escolher o parceiro de segurana certo para proteger e monitorar essas vulnerabilidades o que agrega esse valor extra contra os criminosos cibern- ticos. A Symantec oferece uma ampla gama de Website Security Solutions, incluindo o EV, uma seleo de algoritmos de criptografia diferentes e a verificao de vulnerabilidades e de malware. A prova do nosso poder est nos altos padres que temos para a nossa prpria segurana: por exemplo, temos processos de autenticao auditados pela KPMG e data centers de nvel militar para a nossa infraestrutura SSL e PKI. O Web Site Malware Scanning da Symantec adiciona uma segunda linha de defesa e uma verificao externa til. Tudo isso far parte do servio se voc escolher os cer- tificados Symantec SSL, e voc poder evitar a surpresa desagradvel de ser includo inesperadamente na lista negra de um mecanismo de busca. Com a Symantec, voc tem um parceiro de segurana conhecido e bem equipado que pode manter o seu site e os negcios por trs dele seguros e confiveis. Para saber mais sobre as Symantec Website Security Solutions, visite www.symantec.com/pt/br/ssl CONHECIMENTO PODER PARA O SEU CLIENTE TAMBM Identied by Norton p. 10 Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site 1. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria, https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf 2. The Internet then and now (A Internet antes e depois) por WhoIsHostingThis? http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#. 3. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria, https://www.symantec-wss.com/campaigns/14601/pl/assets/VA-WhitePaper-PTBR.pdf 4. Relatrio da Symantec sobre ameaas de segurana de sites em 2013, https://www.symantec-wss.com/ptbr 5. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria, https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf 6. Synthesis, WP Sites Under Attack Across the Globe!!! (Synthesis, Sites WP sob ataque em todo o mundo!) http://websynthesis.com/wp-bruce-force-protection/ 7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities 8. Facebook implements Always-On SSL (O Facebook implementa o Always-On SSL) http://www.symantec.com/connect/blogs/facebook-implements-always-ssl 9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf 10. Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute (O varejo sofre duas vezes mais ataques de injeo de SQL do que outros setores; um aplicativo atacado em uma mdia de 26 vezes por minuto) http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/ 11. Hacking Smart Homes (Invadindo domiclios inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes 12. Synthesis, How We Kept You Safe During Yesterdays Zero-Day Security Emergency (Synthesis, Como mantivemos voc seguro durante a emergncia de segurana de dia zero de ontem) http://websynthesis.com/zero-day-linux-exploit/ 13. Relatrio da Symantec sobre ameaas de segurana de sites em 2013, https://www.symantec-wss.com/ptbr 14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html acessado em 10 de setembro de 2013 15. Pesquisa internacional sobre o consumidor online do Symantec WSS: Estados Unidos, Alemanha, Reino Unido, julho de 2012 REFERNCIAS Symantec Website Security Solutions Website Security Threat Report 2013 SOBRE A SYMANTEC As Symantec Website Security Solutions incluem o gerenciamento de certificados SSL lderes do setor, a avaliao de vulnerabilidades e a verificao de malware. O Norton Secured Seal e a Symantec Seal-in-Search garantem a seus clientes que eles esto seguros ao pesquisar, navegar e comprar. Mais informaes disponveis em www.symantec.com/pt/br/ssl Symantec Website Security Solutions Vulnerabilidades que podem prejudicar o seu site SIGA-NOS Para obter informaes de escritrios locais especficos e nmeros de contato, visite nosso site. Para conversar com um Especialista em Produtos, ligue para +1 650-436-3400
Symantec Brasil Headquarters Av. Dr. Chucri Zaidan, 920 - 12 o andar Market Place Tower So Paulo, SP, Brasil www.symantec.com/pt/br/ssl