O avanço da tecnologia faz com que as pessoas fiquem cada vez mais dependentes da internet, sendo assim, observamos esta rede repleta de dados pessoais e empresariais. Paralelo a isso, o número de ataques digitais vêm aumentando consideravelmente, onde podemos observar 96% das médias e grandes empresas brasileiras reportando aumento no número de ataques digitais nos últimos meses, conforme apresentado no relatório “The Rise of the Business-Aligned Security Executive”.
Com isso, é importante que os usuários e empresas conheçam as principais ameaças que existem neste meio. Nesse contexto, vamos falar sobre os ataques digitais mais frequentes e como se defender.
Para falar sobre este assunto, é importante falar sobre o projeto OWASP Top Ten. Este projeto foi criado pela Open Web Application Security Project (OWASP), uma comunidade online que tem como objetivo implementar segurança em aplicações web através da disponibilização gratuita de materiais e artigos sobre o assunto. O projeto Top Ten foi criado com objetivo de enumerar os dez principais riscos existentes em aplicações web. Vamos falar sobre eles.
Imagem por ImmuniWeb
Os 10 ataques digitais mais frequentes e como se defender.
10 – Redirecionamentos inválidos
Ocupando a décima posição do projeto, o redirecionamento inválido ocorre quando um atacante consegue manipular a URL de uma empresa e enviar para uma vítima e quando a vítima acessar o link, ela deve ser redirecionada para um site falso que visa roubar suas credenciais. É muito comum que o usuário caia nestes tipos de ataques digitais, pois a URL recebida pertence ao domínio da empresa em que ele confia.
Um exemplo de URL que maliciosa seria:
https://siteconfiavel.com/redirect.php?url=sitemalicioso.com
Observe que, apesar da URL ter HTTPS e pertencer a uma empresa confiável, o atacante consegue manipular ela para realização deste ataque.
9 – Uso de componentes com vulnerabilidades conhecidas
Na nona posição do projeto, o uso de componentes com vulnerabilidades conhecidas ocorre devido à utilização de componentes vulneráveis (como próprio nome fala). A nível de usuário, é interessante que ele sempre utilize programas seguros e atualizados. Já a nível empresarial, é interessante verificar os componentes utilizados para o desenvolvimento dos seus sistemas, desde o tipo de banco de dados, até as bibliotecas, frameworks, sistemas operacionais e muitos outros.
8 – CSRF (Cross-Site Request Forgery)
Já na oitava posição do projeto, o CSRF é muito famoso entre os ataques digitais, onde ocorre quando um atacante se aproveita de uma vítima que esteja logada numa aplicação vulnerável e a partir daí ele envia um link para vítima a fim que ela realize uma requisição indesejada. Por exemplo, imagine que a URL https://bank.com/transfer.do?acct=BOB&amount=100 pertence a um banco legítimo e é responsável por fazer uma transferência de R$100,00 para a conta de Bob. Entretanto, um atacante pode manipular esta URL para que a vítima realize uma transferência indesejada para a conta do atacante. Um exemplo de URL maliciosa seria: https://bank.com/transfer.do?acct=ALICE&amount=100000 a qual realizaria uma transferência para conta do atacante (Alice) de um valor de R$100.000,00.
Para se defender deste tipo de ataque, o usuário deve evitar clicar em qualquer link presente na internet ou enviado por desconhecidos. Já as empresas, elas precisam garantir que os cookies dos seus usuários não estejam acessíveis às requisições externas. Desta forma, elas estarão garantindo que seus usuários não sofram este tipo de ataque.
7 – Quebra no controle de acesso
A sétima posição traz a quebra no controle de acesso, este tipo de ataque ocorre quando a aplicação não faz a restrição de acesso a determinadas funcionalidades de maneira devida. Desta forma, é possível que um usuário comum possa acessar funcionalidades que deveriam ser exclusivas do usuário administrador. Para evitar este tipo de ataque, o sistema da empresa deve implementar um controle de acesso no back-end da aplicação de acordo com o perfil do usuário.
6 – Exposição de dados sensíveis
O sexto lugar conta com a exposição de dados sensíveis, este tipo de ataque ocorre devido à ausência de criptografia nos dados trafegados e armazenados pela aplicação. Para se proteger deste tipo de ataque, o usuário deve verificar se o site que ele está visitando contém o https. Já para as empresas, além de garantir a criptografia na comunicação dos seus sistemas, ela deve também garantir a criptografia nos dados sensíveis armazenados no seu banco de dados.
5 – Ausência de configuração segura
No quinto lugar temos a ausência de configuração segura, este tipo de vulnerabilidade ocorre devido às configurações inseguras estarem presentes em ambientes de produção como, por exemplo quando temos a aplicação rodando em modo debugger ou então quando o programador não aplica nenhum tipo de criptografia no JWT. Para evitar este tipo de risco, é interessante que as empresas tenham uma cultura de segurança que evite este tipo de problema, como, por exemplo, através da inserção de um processo de code review (revisão do código-fonte do sistema).
4 – IDOR (Insecure Direct Object Reference)
Ocupando a quarta posição do projeto, este tipo de ataque ocorre quando um usuário consegue acessar recursos de outros usuários que deveriam estar restritos. Através desta vulnerabilidade é possível obter informações confidenciais, o que coloca em risco um dos pilares da segurança da informação, que é a confidencialidade. Para que as empresas possam se proteger deste ataque, elas devem implementar restrição de acesso aos endpoints de suas aplicações.
3 – XSS (Cross-Site Scripting)
Em terceiro lugar temos o XSS, este tipo de vulnerabilidade ocorre quando a aplicação da empresa aceita injeção de scripts. Este tipo de ataque pode ser classificado de duas formas: XSS refletido e XSS armazenado. No caso do XSS refletido, o atacante manipula a URL do site e envia para a vítima. Desta forma, a vítima deve se prevenir antes de clicar em qualquer link.
Já o XSS armazenado, ocorre quando o atacante insere um script diretamente no site da empresa. Neste caso, qualquer pessoa que acessar o site pode ser vítima do ataque, independente de ter clicado num link, ou não. Para se proteger deste tipo de ataque, as empresas devem configurar seus sites com CSP (Content Security Policy), que é uma proteção que impede a injeção de conteúdos, entre eles os scripts.
2 – Quebra na autenticação
Ocupando a segunda posição, temos a quebra de autenticação, este é um dos ataques digitais mais perigosos, onde ocorre quando um atacante consegue burlar um mecanismo de autenticação. Uma das formas mais comuns disso ocorrer é através de automatização de requisições, onde um atacante consegue criar um programa para tentar logar na aplicação de forma automática. Desta forma, ele consegue tentar milhares de combinações de senhas até finalmente descobrir. Uma forma de se proteger contra estes tipos de ataque é através da utilização dos captchas, que são estes desafios onde somos submetidos a alguma pergunta, como um cálculo matemático ou então temos que identificar um dado objeto numa foto.
1 – Injection
Ocupando o primeiro lugar do pódio temos o injection, este tipo de ataque ocorre quando um atacante consegue injetar valores maliciosos na aplicação a fim de alterar o comportamento da mesma. Através deste tipo de ataque é possível roubar dados e também modificá-los. Para se proteger destes tipos de ataques digitais, as empresas devem sempre validar as informações inseridas pelos usuários para garantir que nenhum comando malicioso será injetado.
Imagem por Lumiun
Dessa forma, fica mais fácil observar a grande variedade de riscos e ataques digitais que existem na internet e como estamos suscetíveis a eles, tendo em vista que esses são apenas os 10 mais comuns. É necessário que haja preocupação com essas e outras formas de danos.
Se você achou o assunto interessante, recomendo que conheça o projeto CWE (Common Weakness Enumeration), um projeto que realiza a enumeração de mais mil das falhas de segurança da informação.
Aproveite para conhecer mais nossos serviços e garantir a segurança da sua empresa contra ataques digitais e dos seus usuários.