CONHECIMENTO PODER:

O GUIA DA SYMANTEC PARA PROTEGER O SEU SITE

VULNERABILIDADES
QUE PODEM PREJUDICAR O SEU SITE
p. 2
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Vulnerabilidades que podem prejudicar o seu site 3
Uma falsa sensao de segurana pode trazer custos para voc 4
O que voc pode fazer? 5
Como uma vulnerabilidade pode prejudicar o seu site 6
A batalha maior do que voc pensa 7
No h como se esconder atrs do seu tamanho 8
O conhecimento poder para o seu cliente tambm 9
CONTEDO
p. 3
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Em 2012, a Symantec realizou mais
de 1.400 verificaes de vulnerabi-
lidade de sites todos os dias. Mais
da metade dos sites verificados
no tinha patches e apresentava
vulnerabilidades potencialmente
explorveis. Dos sites vulnerveis,
um tero estava realmente infectado
com malware que poderia infectar
os visitantes e fazer com que os sites
ingressassem na lista negra dos me-
canismos de busca. Esses nmeros
mostram que milhes de sites legti-
mos esto correndo risco de ataque e
explorao graves por criminosos de
Internet todos os dias.
Apesar disso, um tero das empresas
pesquisadas pela Symantec em A
lacuna no conhecimento de vulnera-
bilidades afirma presumir que seus
sites so muito seguros, embora no
tenham verificado de fato os sites
em busca de vulnerabilidades ou
infeces
1
.
Voc estaria to confiante sobre a segurana de seu
dinheiro se seu banco acidentalmente divulgasse os
detalhes de metade das contas sob sua responsabi-
lidade?
O problema que muitas empresas simplesmente no
entendem o risco que seu site representa para os seus
negcios e o quo vulnervel seus sites esto sem a
segurana e o monitoramento apropriados.
Por que as suas vulnerabilidades importam
Por que criminosos atacam sites? Porque l que o
dinheiro est. Em 2002, as vendas de e-commerce
somaram US$ 72 bilhes. Dez anos mais tarde, esse
nmero aumentou para US$ 225,5 bilhes. Em torno
de 2,7 bilhes de pessoas usam a Internet em 2013, o
que representa praticamente a metade da populao
mundial
2
. Corromper sites d aos criminosos o acesso
aos visitantes, bem como aos dados e ao dinheiro deles.
A primeira lacuna de conhecimento com a qual voc
tem que lidar compreender por que os seus neg-
cios e o seu site so to atraentes para os criminosos
cibernticos. Embora compreender as vulnerabilidades
baseadas em tecnologia e processos seja importante,
para proteger-se contra elas voc precisa entender o
risco que elas representam e a probabilidade de que
eles sejam exploradas.
A sua ignorncia a felicidade deles
Sites no so alvos atraentes apenas pelo o que
os criminosos podem ganhar. A forma como podem
ganhar tambm importa. Os sites e os servidores que os
hospedam possuem inmeras vulnerabilidades ineren-
tes, o que muitos proprietrios desconhecem, e isso os
torna alvos fceis.
Hospedar sites, por um lado, muito fcil. Voc paga
uma empresa de hospedagem e publica o seu site. Por
outro lado, trata-se de um processo muito complexo,
com vrias camadas de software e de hardware, e todas
elas precisam funcionar corretamente para manter o
seu site seguro. Como parece to simples, presumir que
tudo est funcionando bem costuma ser fcil. Como as
tecnicidades so difceis, fcil fechar os olhos e espe-
rar que outra pessoa cuide de tudo para voc.
VULNERABILIDADES QUE PODEM PREJUDICAR
O SEU SITE
p. 4
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Uma das vulnerabilidades com maior probabilidade de
ser explorada em um site o cross-site scripting (XSS);
apesar disso, as empresas pesquisadas pela Symantec a
classificaram como a menos provvel. A vulnerabilidade
mais temida foram os ataques de fora bruta, onde os
hackers tentam invadir os servidores que hospedam
os sites. Esse tipo de ataque mais raro, mas o que
vemos na TV e nos filmes; portanto, eles parecem mais
provveis
3
. O seu site tem muito mais probabilidade de
ser vtima de um botnet que verifica milhares de sites em
busca de vulnerabilidades conhecidas do que de atrair
um grande hacker.
Informaes incorretas so to perigosas quanto a falta
total de informaes, j que elas no apenas disfaram
as reais vulnerabilidades mas tambm acarretam
desperdcio de dinheiro, uma vez que as empresas
direcionam seus recursos para alvos errados.


Onde esto os seus pontos fracos?
Uma nica vulnerabilidade em um aplicativo pode
representar um risco crtico para uma organizao, caso
seja explorada com sucesso, de acordo com o Website
Security Threat Security Report (WSTR) da Symantec
4
.
Em 2012, havia 5.291 vulnerabilidades relatadas, acima
das 4.989 de 2011
5
. Elas no so incomuns ou raras,
e cada uma igualmente ameaadora para os seus
negcios; por isso, compreender os tipos mais comuns
de vulnerabilidade que o seu site enfrenta vital:
UMA FALSA SENSAO DE SEGURANA PODE
TRAZER CUSTOS PARA VOC
Em 2012
5.291 vulnerabilidades
foram relatadas,
em comparao a
4.989 vulnerabilidades
relatadas em 2011
p. 5
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
O QUE VOC PODE FAZER?
Vulnerabilidade O que ? O que voc pode fazer?
Servidores sem
patches
O ndice de descoberta de novas vulnerabilidades
foi de apenas 6% no ltimo ano, mas os ataques
a sites comprometidos aumentou 30%. "Resu-
mindo, so vulnerabilidades mais antigas, sem
patches, que comprometem a maioria dos siste-
mas", de acordo com a pesquisa da Symantec.
Assim como em um PC, se voc no mantiver o
servidor de seu site atualizado e com patches, estar
correndo riscos.
A verificao de vulnerabilidades automtica,
regular e gratuita em toda compra de certificados
Symantec Extended Validation ou Pro SSL mantm
voc informado de vulnerabilidades sem patches.
Vulnerabilidades
de autorizao
Senhas fracas, nomes de usurio administrador
comprometidos, configuraes padro no
alteradas no hardware da rede e software comum
deixam os sistemas abertos a ataques por pes-
soas que fingem ser usurios legtimos.
Imponha uma poltica de senha forte e controles
de acesso robustos, idealmente com autenticao
de dois fatores. Garanta que todas as senhas e
configuraes de hardware e software recentemente
implantadas sejam verificadas e alteradas, se
necessrio. Na medida do possvel, limite o acesso
de administrador a pessoas confiveis e avaliadas,
de acordo com o sistema.
Cross-site
scripting
Cross-site scripting significa injetar cdigo de
um site (que pertence aos criminosos) em outro
site (que pertence a voc). Isso permite que os
criminosos da Internet executem seu prprio
cdigo em seu site para atacar ou infectar
visitantes, ou para engan-los para revelar
informaes valiosas, como senhas.
Sempre mantenha o software do servidor
da Web atualizado para bloquear quaisquer
vulnerabilidades conhecidas contra essa forma
de ataque e, quanto ao cdigo personalizado,
garanta que todas as entradas sejam validadas
corretamente. Faa verificaes de malware
regulares em seus sites em busca de alteraes e
adies inesperadas.
Ataques de
fora bruta
Como indica o nome, esses ataques simples-
mente tentam todas as probabilidades de
senha e criptografia at quebrar o cdigo para
invadir o seu site.
O pior tipo de ataque ocorre quando os hackers
conseguem acesso a seus dados criptografados
e no esto restritos por tentativas de login
limitadas online.
Esse tipo de ataque comum, com sites
grandes relatando 500 tentativas de ataques
de fora bruta por hora
6
.
Mude regularmente as senhas do servidor e do
sistema de gerenciamento de contedo e man-
tenha todos os seus dados criptografados.
Garanta o uso de mtodos de criptografia atuali-
zados, j que algoritmos antigos tm fraquezas
conhecidas fceis de ser exploradas.
Se o seu site tiver um portal de login para clientes,
garanta que haja um limite no nmero de logins
que as pessoas podem tentar e bloqueie as
pessoas que tentarem fazer login com muitas
senhas diferentes de uma vez. O software do
servidor normalmente vem com essa funcionali-
dade, mas certifique-se de garantir a segurana.
Exploraes de
dia zero
Essas so vulnerabilidades que ningum conhece
at que um criminoso comece a explor-las. O
ataque comea no dia zero de conscientizao
do risco, e os nmeros cresceram no ltimo ano,
quando 14 novas vulnerabilidades de dia zero
foram expostas. Nos primeiros trs meses de
2013, a Symantec observou 11 vulnerabilidades
de dia zero afetando Oracle Java, Adobe Flash,
Adobe Reader e Microsoft Internet Explorer
7
.
Se voc hospeda seu prprio site, precisa de procedi-
mentos de resposta para minimizar o impacto de um
ataque como esse. Garanta que todos os aplicativos
estejam atualizados com os patches de segurana
mais recentes. Embora uma explorao de dia zero
no possa receber patches, as atualizaes mais
recentes daro proteo contra vulnerabilidades
divulgadas anteriormente.
A verificao de vulnerabilidades automtica e
regular, tal como a obtida com certificados Symantec
SSL, ajudar voc a identificar fraquezas o mais cedo
possvel, assim que forem expostas.
p. 6
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
1. Acessar as informaes e desligar seu servidor. Voc tem todos os tipos de informaes armazenadas no
servidor de seu site, como detalhes e senhas de clientes. O poder do servidor tambm representa um recurso
potencial de fora computacional para criminosos distriburem malware. O acesso ao seu servidor significa
violaes de dados, perda de confiana e a destruio dos negcios, e por isso que a verificao regular de
vulnerabilidades to importante.
2. Interceptar informaes trocadas entre voc e os seus visitantes. Informaes esto constantemente
sendo passadas de um lado para outro entre seus visitantes e o seu site. A menos que haja certificados SSL
atualizados que criptografem essas informaes, voc e seus visitantes estaro em risco de ataques man-
in-the-middle. Muitos sites, como o Facebook e o Google, implementaram o Always-On SSL, o que significa
que, independentemente de seu visitante ter passado ou no por uma pgina de login, todas as comunicaes
entre o site o servidor sero criptografadas
8
.
3. Implantar malware nos dispositivos de seu visitante. Se um criminoso ciberntico tiver conseguido injetar
cdigo JavaScript oculto ou algumas linhas de cdigo vinculadas a outro site que possa instalar malware,
todos os visitantes de seu site e o dispositivo que usam para acess-lo estaro em risco. Esse cdigo malicioso
procura por vulnerabilidades no dispositivo do visitante e, se encontr-las, baixar malware que registra
seus pressionamentos de tecla, acessa seus arquivos, bloqueia seu sistema ou usa sua fora computacional
para distribuir ainda mais o malware.
COMO UMA VULNERABILIDADE PODE
PREJUDICAR O SEU SITE
Seu site um vnculo entre voc e os seus clientes. Isso significa que
criminosos podem explorar suas vulnerabilidades de trs maneiras principais:
Acessar as
informaes e
desligar seu servidor
Interceptar
informaes trocadas
entre voc e os seus
visitantes
Implantar malware
nos dispositivos de
seu visitante
p. 7
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
As vulnerabilidades de site so com-
plexas, e tirar vantagem delas no
necessariamente simples. Entretanto,
existem vrios criminosos cibern-
ticos e gangues empresariais que
desenvolvem e vendem toolkits. Esses
toolkits incluem informaes sobre
vulnerabilidades conhecidas e o c-
digo necessrio para tirar vantagem
delas, e eles so muito populares. Isso
significa que um grupo muito maior
de criminosos menos habilidosos tem
a capacidade de explorar e atacar o
seu site, simplesmente comprando
ou roubando esses toolkits. Em 2012,
por exemplo, um nico toolkit, o
Blackhole, contabilizou 41% de todos
os ataques de toolkit baseados na
Web.
Quando acontece com voc
Falar sobre vulnerabilidades em termos abstratos fcil,
mas o impacto dos ataques baseados na Web so muito
reais. Voc pode descobrir mais sobre a mecnica do
malware em nosso informe oficial
9
Como o malware
funciona, mas alguns exemplos recentes do mundo real
provam apenas como as vulnerabilidades podem ser
perigosas:
Ataques de injeo de SQL. O recente Web
Application Attack Report (WAAR) da Imperva mostra
que, enquanto um aplicativo Web tpico enfrentou 12
dias por ms nos quais ocorreu pelo menos um incidente
de ataque, o pior caso detectou 176 dias como esses no
perodo de observao de seis meses, o que significa que
eles foram atacados praticamente todos os dias. A lio
que essas organizaes devem basear as medidas de
segurana no pior cenrio, e no na mdia, conclui o
relatrio
10
.
Dados no criptografados. Kashmir Hill, uma
reprter da Forbes, conseguiu no somente encontrar
uma lista de imveis com uma marca especfica de soft-
ware de automao domstica, mas tambm conseguiu
invadir esse software e controlar dispositivos eletrnicos
remotamente a partir de uma pesquisa do Google.
Nenhum nome de usurio ou senha foi necessrio para
acessar o sistema, e a lista de clientes no foi bloqueada
no crawling do mecanismo de busca; assim, ela achou a
lista facilmente depois de uma rpida pesquisa
11
.
Ataques de dia zero. Em maio de 2013, foi disponibi-
lizada uma explorao de dia zero do kernel do Linux, o
que foi potencialmente desastroso para hosts da Web.
Foram necessrias reinicializaes de sistema, o que
tirou muitos sites do ar sem aviso
12
.
A BATALHA MAIOR DO QUE VOC PENSA
p. 8
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Embora as grandes empresas poten-
cialmente tenham a chave dos maio-
res cofres, isso no significa que ser
pequeno estar seguro. Na verdade,
de acordo com a pesquisa sobre a
lacuna no conhecimento de vulnera-
bilidades da Symantec, proprietri-
os de pequenas empresas so me-
nos informados sobre a segurana
de seu site do que os proprietrios
de grandes organizaes. Isso os
coloca em risco significativo quando
se considera que praticamente um
tero dos ataques direcionados em
2012 tinha como alvo empresas
com apenas 1 a 250 funcionrios
13
.
As pessoas e os processos representam
uma vulnerabilidade tambm
Proteger-se a si mesmo contra vulnerabilidades de
site vai alm da tecnologia. Voc precisa treinar toda a
equipe quanto aos riscos de ataques de phishing ou en-
genharia social a fim de proteger o acesso a servidores
e sistemas de gerenciamento de contedo. Alm disso,
voc precisa de processos rigorosos de atualizao de
senhas.
A Symantec tem uma ampla gama de solues que
ajudam as empresas a gerenciar seus certificados SSL
de forma eficaz. Essas ferramentas ajudam os gerentes
de sites a manter o controle de seus certificados SSL
e a receber avisos precisos sobre datas de expirao
futuras. Elas tambm podem gerenciar a verificao de
malware e as avaliaes de vulnerabilidade automa-
tizadas discutidas neste informe (dependendo do tipo
de certificado que voc usa). A Symantec tambm tem
ferramentas como o Certificate Intelligence Center que
ajudam a monitorar e automatizar o gerenciamento
de certificados em empresas que tenham um grande
nmero de certificados SSL.
NO H COMO SE ESCONDER ATRS
DO SEU TAMANHO
251 a 500
501 a 1.000
1.001 a 1.500
1.501 a 2.500
1 a 250 funcionrios
quase um tero dos ataques direcionados
de 2012 tinha como alvo empresas com
apenas 1-250 funcionrios.
1 a 250 funcionrios
quase um tero dos ataques direcionados
de 2012 tinha como alvo empresas com
apenas 1-250 funcionrios.
18%
em 2011
13%
de aumento
31% 31%
9%
3%
2%
5%
2012
p. 9
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
Seus clientes e os visitantes do site
podem no estar totalmente infor-
mados quanto s vulnerabilidades
do site, mas eles sabem que os sites
representam riscos significativos para
seus dados e dispositivos pessoais.
Eles esto em busca de sinais de que
voc conhece os perigos e est fazen-
do tudo o que pode para proteg-los.
Os certificados Extended Validation (EV) SSL, por exem-
plo, conduzem voc e o seu site por um rigoroso procedi-
mento de autenticao que prova que voc quem diz
que . Os visitantes do site veem prova disso na forma de
uma barra de endereos verde em seu site. Esse pequeno
sinal de garantia pode significar muito: sites protegidos
por EV informam aumentos de 10% ou mais em taxas de
cliques de comprador
14
.
O WSTR da Symantec tambm concluiu que, em 2012,
mais consumidores visitaram sites com marcas de
segurana como o selo Norton Secured, que a marca de
segurana mais reconhecida na Internet
15
. Tirar vantagem
da tecnologia Symantec Seal-in-Search significa que os
visitantes podem ter certeza da segurana de seu site
antes de chegarem nele, pois os mecanismos de busca
exibiro o selo Norton Secured ao lado do nome de seu
site nos resultados de pesquisa. Assim, as pessoas veem o
seu site como mais confivel antes mesmo de clicar para
visit-lo.
O parceiro certo soma foras com voc
Quando se trata de vulnerabilidades de site, certamente
conhecimento poder. Escolher o parceiro de segurana
certo para proteger e monitorar essas vulnerabilidades o
que agrega esse valor extra contra os criminosos cibern-
ticos.
A Symantec oferece uma ampla gama de Website Security
Solutions, incluindo o EV, uma seleo de algoritmos de
criptografia diferentes e a verificao de vulnerabilidades
e de malware. A prova do nosso poder est nos altos
padres que temos para a nossa prpria segurana: por
exemplo, temos processos de autenticao auditados
pela KPMG e data centers de nvel militar para a nossa
infraestrutura SSL e PKI.
O Web Site Malware Scanning da Symantec adiciona uma
segunda linha de defesa e uma verificao externa til.
Tudo isso far parte do servio se voc escolher os cer-
tificados Symantec SSL, e voc poder evitar a surpresa
desagradvel de ser includo inesperadamente na lista
negra de um mecanismo de busca.
Com a Symantec, voc tem um parceiro de segurana
conhecido e bem equipado que pode manter o seu site e
os negcios por trs dele seguros e confiveis.
Para saber mais sobre as Symantec Website Security
Solutions, visite www.symantec.com/pt/br/ssl
CONHECIMENTO PODER PARA
O SEU CLIENTE TAMBM
Identied by Norton
p. 10
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
1. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria,
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
2. The Internet then and now (A Internet antes e depois) por WhoIsHostingThis?
http://www.whoishostingthis.com/blog/2013/06/17/internet-then-and-now/#.
3. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria,
https://www.symantec-wss.com/campaigns/14601/pl/assets/VA-WhitePaper-PTBR.pdf
4. Relatrio da Symantec sobre ameaas de segurana de sites em 2013,
https://www.symantec-wss.com/ptbr
5. Avaliao de vulnerabilidades da Symantec voc se sente vulnervel? Voc deveria,
https://www.symantec-wss.com/campaigns/14601/ptbr/assets/VA-WhitePaper-PTBR.pdf
6. Synthesis, WP Sites Under Attack Across the Globe!!! (Synthesis, Sites WP sob ataque em todo o mundo!)
http://websynthesis.com/wp-bruce-force-protection/
7. http://www.symantec.com/connect/blogs/2013-first-quarter-zero-day-vulnerabilities
8. Facebook implements Always-On SSL (O Facebook implementa o Always-On SSL)
http://www.symantec.com/connect/blogs/facebook-implements-always-ssl
9. http://www.verisign.com/verisigntransition101/files/MalwareSecurityReport.pdf
10. Retailers Suffer 2X More SQL Injection Attacks than Other Industries; One Application Attacked an Average of 26 Times per Minute (O varejo
sofre duas vezes mais ataques de injeo de SQL do que outros setores; um aplicativo atacado em uma mdia de 26 vezes por minuto)
http://www.cso.com.au/mediareleases/16923/retailers-suffer-2x-more-sql-injection-attacks/
11. Hacking Smart Homes (Invadindo domiclios inteligentes), http://www.symantec.com/connect/blogs/hacking-smart-homes
12. Synthesis, How We Kept You Safe During Yesterdays Zero-Day Security Emergency (Synthesis, Como mantivemos voc seguro durante a
emergncia de segurana de dia zero de ontem)
http://websynthesis.com/zero-day-linux-exploit/
13. Relatrio da Symantec sobre ameaas de segurana de sites em 2013,
https://www.symantec-wss.com/ptbr
14. Online Trust Alliance, https://otalliance.org/resources/EV/index.html acessado em 10 de setembro de 2013
15. Pesquisa internacional sobre o consumidor online do Symantec WSS: Estados Unidos, Alemanha, Reino Unido, julho de 2012
REFERNCIAS
Symantec Website Security Solutions
Website Security Threat Report 2013
SOBRE A SYMANTEC
As Symantec Website Security Solutions incluem o gerenciamento
de certificados SSL lderes do setor, a avaliao de vulnerabilidades
e a verificao de malware. O Norton Secured Seal e a Symantec
Seal-in-Search garantem a seus clientes que eles esto seguros ao
pesquisar, navegar e comprar.
Mais informaes disponveis em www.symantec.com/pt/br/ssl
Symantec Website Security Solutions
Vulnerabilidades que podem prejudicar o seu site
SIGA-NOS
Para obter informaes de escritrios locais
especficos e nmeros de contato, visite nosso site.
Para conversar com um Especialista em Produtos,
ligue para +1 650-436-3400

Symantec Brasil Headquarters
Av. Dr. Chucri Zaidan, 920 - 12
o
andar
Market Place Tower
So Paulo, SP, Brasil
www.symantec.com/pt/br/ssl