Leia sobre dicas e funcionalidades da GoCache CDN para melhorar a seguranca do seu site, loja virtual ou app mobile.

Protegendo seu Site e Economizando Banda com WAF

Quando alguém precisa descobrir o IP de um computador é quase certo que utilizará o famoso site MeuIP.com.br. O site tem mais de 20 anos de existência e é, de longe, o mais usado para essa simples, porém importante, funcionalidade.

Nos últimos meses este site estava tendo um problema muito grande de gastos com banda, desproporcional ao número de visitantes que recebia. Após alguns dias analisando o problema, os administradores chegaram a conclusão de que havia um número excessivo de acessos de robôs, crawlers e outros tipos de user agents maliciosos, e estes estavam consumindo muita banda e processamento do servidor (user agent é o identificador dos navegadores que acessam seu site).

Foi então que o MeuIP decidiu utilizar um WAF (Web Application Firewall) para bloquear esses acessos indesejados. Eles utilizaram o sistema da GoCache para isso e o sucesso foi tamanho que resolveram dividir conosco, através deste artigo, os resultados que conseguiram. 

Acesso de User Agents indesejados ao site:

Após analisar profundamente os acessos ao site, os administradores notaram que haviam milhares de acessos onde o user agent continha strings como: Indy, Sinapse, curl, Python, Delphi, Java, Ruby e mesmo vazia.

Aparentemente isso ocorria porque inúmeros aplicativos estavam usando o servidor, indevidamente, para resolver o endereço IP dos computadores onde estavam rodando. O problema é que o site não estava preparado para isso, o que acabou por sobrecarregar os servidores e consumir muita banda.

A solução foi utilizar o WAF da GoCache para bloquear esses acessos indesejados, veja como:

 

Configurando o Web Application Firewall:

1. Nível de Segurança:

O primeiro ponto a ser configurado foi em regras “Geral” do Firewall. Conforme pode ver abaixo, foi escolhido o nível de segurança Alto, e modo de Simulação.

O modo de simulação costuma ser inicialmente utilizado para ter certeza de que não estará bloqueando acessos que gostaria que fossem permitidos. Após simularmos e termos certeza de que está tudo certo, muda-se o Modo de Segurança de “Simular” para “Bloquear”.

 

Em apenas alguns segundos após habilitar essa regra no firewall, dezenas de eventos de bloqueio aparecem na aba “Eventos”:

Clicando no ícone azul, do lado direito, pudemos analisar os bloqueios que seriam feitos. Veja, por exemplo, que o WAF bloqueará acesso do User Agent Indy, que é considerado um Rogue Crawler, ou seja, um Navegador malicioso, muito usado para Spam, por exemplo.

Além deste User Agent, o WAF também mostrou outros eventos de bloqueio, como User Agent Vazio ou outros acessos suspeitos.

No entanto, ainda havia vários outros User Agent que gostaríamos de bloquear. Poderíamos adicionar outras regras ao Firewall, uma para cada User Agent que desejássemos bloquear. No entanto, optamos por utilizar as SmartRules do Firewall, como verá abaixo.

2. Regras SmartRules do Firewall:

Ao invés de colocarmos uma regra para cada User Agent que desejávamos bloquear, utilizamos apenas uma SmartRule para WAF, bloqueando todos os agentes. (Para usar, clique em SmartRules e depois Firewall).

Isso ocorre porque nas SmartRules podemos usar expressões regulares, como os símbolos: * = significando tudo, & = significando ‘e’, | = significando ‘ou’.

Veja a nossa regra de bloqueio:

curl*|Wget*|Python*|Synapse*|Indy*|DynDNS*|Java*|ELinks*|Delphi*|Lynx*|DDNS*|DirectUpdate*|Test*|Ruby*|AAA*

Inicialmente parece um pouco assustadora, mas ela é bem simples e foi capaz de bloquear praticamente todos os User Agents indesejados.

É importante lembrar que, para que todas as configurações façam efeito, você precisa trocar o Modo de Segurança do Firewall, do modo “Simular” para o modo “Bloquear”.

 

Economia de Banda após o uso do WAF:

Imediatamente após proteger o site com o Web Application Firewall e bloquear os User Agents com a SmartRule, ocorreu uma queda surpreendente no consumo de banda. Veja os gráficos do servidor que estava hospedado na AWS (Amazon).

O site estava consumindo por volta de 27MBytes a cada 5 minutos e passou a consumir pouco mais de 10MBytes. Isso representou uma economia de quase 70% de banda, muito mais do que os administradores do site esperavam.

Veja que o Gráfico de Consumo encontrado no Painel da GoCache também confirma a redução de 3 vezes na transferência de dados. (A escala é diferente do anterior e um deles está no horário de SP e outro GMT).

Também note que o tráfego na CDN se manteve igual (verde escuro) e os tráfegos no servidor (verde claro) e total (marrom) foram reduzidos. Ou seja, a CDN bloqueou o tráfego indesejado ao servidor, economizando banda e processamento.

Considerando que a banda era um dos principais gastos do site, o uso do WAF representou uma excepcional economia com da transferência de dados. Especialmente se considerar que o tráfego de dados na Amazon é bastante caro.

Por fim, além da economia de banda, o WAF também, certamente, deixou o sistema mais seguro contra outros tipos de ataques, como DDoS e Força Bruta.

Uma outra dica interessante sobre WAF é que você pode também bloquear o acesso de ataques vindos de outros países, deixando seu site ainda mais seguro. Veja como fazer isto neste artigo: Bloquear IPs de outros países.

E, para entender melhor como uma CDN pode acelerar e proteger seu site, não deixe de ver o vídeo abaixo.

Veja os 10 países do mundo com maior número de hackers e crimes cibernéticos

Motivados por uma série de razões diferentes, como desafio, ganho financeiro, ameaça, vingança ou emoção, as comunidades de hackers funcionam ativamente em todo o mundo.

A CDN GoCache fez um estudo sobre o assunto e apontou que a principais fontes de ciberataques no mundo são a China, os EUA, Turquia, Rússia e Taiwan.

Mas note que o Brasil também está neste Ranking, e muito bem colocado. Veja abaixo os 10 países com maior participação no número global de ataques cibernéticos.

Os 10 principais países em quantidades de cybercrimes.

hackers no mundo

 1. CHINA

Não é uma surpresa para ninguém. Pergunte a qualquer profissional de segurança da internet sobre cybercrimes e, certamente, a China será um dos primeiros nomes em mente. De fato, para ganhar superioridade competitiva em relação aos outros países no ciberespaço, a China tem promovido a segurança cibernética como uma cultura, com uma alfabetização em informática muito boa entre seus jovens.

Isso também, infelizmente, levou a um aumento do cibercrime e aumento do número de cibercriminosos.

De acordo com várias estimativas, 41% dos ataques cibernéticos mundiais têm sua origem na China. Acredita-se que as redes organizadas de hackers sejam executadas na China, que são apoiadas pelo Exército de Libertação Popular da China. O objetivo é, principalmente, hackear as redes governamentais dos EUA e as de seus aliados. Mas também cometem crimes e roubos em milhões de sites no mundo, como forma de angariar recursos para manterem suas ações.

 

2. ESTADOS UNIDOS

Numa das últimas reuniões do G20, o presidente dos Estados Unidos, Barack Obama, disse que os EUA têm o maior e melhor arsenal cibernético do mundo. Isso pode ser realmente verdade, dada a sofisticação dos ataques cibernéticos alegadamente realizados pelo “Stuxnet”

Sim, o mesmo Trojan que foi plantado na central nuclear iraniana para interromper as centrífugas. De acordo com várias estimativas, os EUA representam quase 10% do tráfego de ataque mundial. É o lar de muitos hackers famosos e infames.

Em um dos principais casos de cyber crimes dos EUA, um hacker foi condenado por 20 anos de prisão e multado em US$25.000, por roubar 90 milhões de números de cartões de crédito e débito dos principais varejistas americanos.

Um outro hacker foi condenado por 10 anos de prisão depois que ele acessou as contas pessoais de e-mail das estrelas da indústria de Hollywood, como as atrizes Scarlett Johansson, Mila Kunis, a cantora Christina Aguilera e ainda publicou suas fotos pessoais on-line.

 

3. TURQUIA

O terceiro lugar é ocupado pela Turquia. Este país é responsável por 4,7% dos cyberatques feitos no mundo. Os hackers turcos aumentaram muito suas atividades na última década.

A situação política na Turquia, a religião, e o importante papel da redes sociais, estão relacionadas aos tipos de ataques que os hackers turcos fazem: normalmente são motivos religiosos e políticos. Assim, os hackers turcos visam crimes que lhes dê visibilidade ou dinheiro.

O ataque ao site do Vaticano, o cancelamento de uma conta de energia elétrica por US$ 670.000, vingança de uma empresa que forneceu leite estragado às escolas turcas, vazamento de informações governamentais secretas – estes e muitos outros ataques são atribuídos a hackers da Turquia. Os hackers turcos geralmente usam injeção de SQL, malwares, e outras técnicas para atacar suas vítimas.

 

4. RÚSSIA

Os últimos ataques Russos ao comitê democrático nacional, dos estados unidos, mostraram a força da Rússia nesta área. Este ataque cibernético provocou temores de manipulação das próximas eleições presidenciais dos EUA por hackers russos. Segundo estimativas, cerca de 4,3% dos cyber ataques globais é gerado a partir da Rússia. Os hackers russos são famosos em todo o mundo e têm habilidades para atacar as redes mais seguras e sofisticadas como as do Google, do Facebook, NASA e da Apple.

Mas muitos roubos e ataques, mesmo a sites menores, também vem da Rússia, responsáveis por prejuízos anuais que podem chegar a bilhões de dólares.

“Na Rússia, as revistas e softwares de pirataria são vendidos livremente nas ruas de Moscou”, diz Ken Dunham, diretor da empresa americana iDefense. A reputação dos programadores russos é muito conhecida. Não surpreendentemente, a pessoa mais procurada pelo FBI no área da segurança cibernética é um hacker russo.

A popularidade do hacking na Rússia pode ser explicada por vários fatores: um grande número de especialistas em TI altamente educados com excelentes habilidades em matemática e informática, falta de empregos qualificados, a difícil situação financeira do país e circunstâncias geopolíticas.

5. TAIWAN

“Pequeno, mas fortes!” Esse devia ser o lema dos hackers taiwaneses. A pequena ilha, localizada perto da China, é um grande celeiro de hackers. Sozinha é responsável por quase 3,7%  dos ataques cibernéticos globais.

Não há um lugar melhor para um hacker dedicado a praticar habilidades profissionais do que Taiwan. Devido à sua localização geopolítica, Taiwan é um campo de batalha, onde acontecem uma grande quantidade de ataques cibernéticos, vindos especialmente da China.

O perigo frequente de ataques cibernéticos incentiva os especialistas taiwaneses em segurança de TI a melhorarem suas habilidades profissionais. Os hackers taiwaneses frequentemente ganham prêmios em prestigiosas competições de hackers, como as competições “Capture the Flag” nos EUA e no Japão.

 

6. BRASIL

A olimpíada recentemente realizada no Rio trouxe o foco do mundo inteiro para hackers brasileiros. Com 3,3% de participação no número global de cyber ataques, o Brasil ocupa o 6º lugar do ranking.

De fato, o Brasil tem o maior número de ataques cibernéticos, não apenas na América do Sul, mas em todo o hemisfério sul. Só no último ano, o CERT.br registrou mais de meio milhão de ataques, e isto porque acredita-se que a grande maioria dos ataques sequer são registrados oficialmente.

Um dos grandes motivos de cibercrime no Brasil é o fato de ser uma economia que, cada dia mais, utiliza mais cartões de crédito e sistemas eletrônicos de pagamento e menos dinheiro em espécie.

Isto se torna um prato cheio para os cyber criminosos, que praticam crimes conhecidos como phishing ou usam cavalos de tróia para roubar dados de suas vítimas, como de contas bancárias e cartões de créditos.

Apesar do considerável número de cyber crimes, ataques como DDoS, que visam derrubar sites de concorrentes ou inimigos, são muito menos frequentes no Brasil.

 

7. ROMÊNIA

Na 7ª posição, a Romênia é responável por 3,3% do cibercrime global. Você ficará surpreso, mas há uma cidade na Romênia, chamada “Ramnicu Valcea”, que é popularmente conhecida como o centro dos criminosos hackers. A maioria dos ataques cibernéticos da Romênia tem origem nesta cidade.

 

8. ÍNDIA

Em 8º lugar na lista está a Índia, um dos centros de TI do mundo. Nos últimos tempos, a Índia está testemunhando um número crescente de crimes cibernéticos. Os hackers indianos são responsáveis por 2,3% no crime cibernético global.

Os hackers indianos foram acusados ​​de espionagem cibernética internacional quando uma série de ataques de espionagem foram feitas contra empresas civis e de interesse de segurança nacional, como a Porsche Holdings, a Delta Airlines, escritórios de advocacia dos EUA e alvos paquistaneses. O grupo de hackers operou por três anos e organizou ataques de phishing.

Apesar de muitas vezes não ser considerado criminosos, a Índia é também uma das principais fontes dos conhecidos e detestados Spammers.  Os baixos salários do país permitem que empresas de todo o mundo contratem exércitos de indianos para ficarem enchendo blogs e fóruns com propagandas (spams), manualmente ou através de spammer bots (robôs que fazem este trabalho).

 

9. ITÁLIA

Na nona posição da lista de países com a mais hackers e crimes cibernéticos, está a Itália. Cerca de 1,6% das atividades totais de cibercrimes são feitas pelos hackers italianos. Existem, aliás, dois hackers italianos muito famosos: Luigi Auriemma e Donato Farrante Aureima. Eles estão envolvidos em hackear sites governamentais e revelar publicamente informações sobre quaisquer ameaças de segurança.

 

10. HUNGRIA

O décimo lugar é ocupado pela Hungria. A Hungria é um pequeno país europeu, mas possui uma considerável rede de hackers. Ela bateu de perto a Coréia do Sul, tomando o 10º lugar no Ranking. Os hackers húngaros são responsáveis por 1,4% na atividade global de crimes cibernéticos.

 

Mas como se proteger de Hackers?

Com tantos crimes cibernéticos ocorrendo pelo mundo, como uma empresa pode se proteger, sem ter que contar com uma grande equipe de especialistas em Segurança da Internet?

A resposta está em adotar as melhores práticas de segurança em aplicações web. Por exemplo, as chamadas CDNs, além de melhorar o desempenho de sites, os deixam mais seguros, através da utilização dos chamados WAF, Web Application Firewalls.

Veja o tutorial: como se proteger de ataques vindos de outros países.

Esses firewalls agem como uma muralha entre o atacante e os sites das empresas/governos. Eles contam com uma série de bloqueios a ataques, permitindo até mesmo bloquear o acesso dos IPs desses países, considerados de alto risco.

Veja no vídeo abaixo como uma CDN pode ajudar a te proteger.

 

 

Empresas utilizam WAF e CDN para se protegerem de ataques de hackers

Segundo estatísticas divulgadas pelo CERT.br, Grupo de Resposta a Incidentes de Segurança para a Internet brasileira, só no último ano foram reportados nada menos que 647 mil incidentes referentes a ataques contra a segurança da informação de dados de empresas e organizações, utilizando a internet.

Deste total, 59,33% foram ataques do tipo Scan, quando os hackers fazem uma varredura na rede da empresa em busca de brechas de segurança, 15,87% foram tentativas de fraude e 9,34% ataques de negação de serviços, em que se pretende tirar o site da empresa do ar.

Apesar de alarmante, os números revelam uma expressiva melhora em relação ao ano de 2014, quando foi reportado o maior número de ataques, com mais de 1 milhão de incidentes envolvendo segurança da informação notificados ao órgão.

E foi exatamente por começarem a se defender preventivamente deste tipo de ameaça que as empresas conseguiram baixar esses números.

Mas como uma empresa pode tomar providências nesse sentido rapidamente, mesmo sem contar com um departamento de TI especializado no assunto?

A resposta está em adotar as melhores práticas de segurança em aplicações web, por exemplo, as chamadas CDNs, redes de distribuição de conteúdos que além de melhorar o desempenho de sites, os deixam mais seguros, através da utilização dos chamados WAF (Web Application Firewalls).

 

COMO O USO DE UMA CDN PODE DEIXAR SITES MAIS SEGUROS RAPIDAMENTE?

As providências de segurança em aplicações web envolvem uma diversidade de boas práticas que incluem criar um plano de segurança, fazer um inventário e definir suas aplicações web prioritárias, detectar vulnerabilidades, usar cookies de forma segura, endereços HTTPS, backups, fazer treinamentos, entre outras.

Mas uma das formas mais objetivas e rápidas de se implementar a segurança em um site de empresa pode ser o uso de uma CDN.

CDN (Content Delivery Network) significa Rede de Distribuição de Conteúdo. Essa rede armazena réplicas de outros sites na memória de diversos servidores espalhados pelo Brasil e pelo mundo. Posteriormente, será através dos servidores mais próximos dos usuários, que os conteúdos do site são entregues, proporcionando muito mais agilidade e rapidez para quem interagir com essas páginas.

E os benefícios não param por aí.
Um bom serviço CDN deve conter seu próprio sistema de proteção contra ataques e vulnerabilidades e, além disso, disponibilizar para seus usuários os famosos Firewalls, chamados tecnicamente de WAF (Web Application Firewall), que protegem os sites de ataques dos mais variados tipos e permitem filtrar o tráfego.

Existem diversas CDN disponíveis no mercado, mas qual deles escolher?

Para começar, especialistas recomendam o uso de uma CDN localizada no Brasil, porque tem seus servidores espalhados no país e, portanto, mais próximo dos usuários, tornando tudo muito mais rápido.

Além disso, um serviço instalado no Brasil não oferece risco cambial, isto é, um súbito aumento de preços em função de um alta repentina do dólar.

Por fim, servidores no Brasil garantem que seus usuários não serão afetados caso haja algum problema no link internacional, como houve, por exemplo, durante a passagem do último furacão em Porto Rico.

Outra dica importante é comparar o que cada CDN tem a oferecer, como o número de pontos de presença no Brasil, disponibilidade de canais para suporte técnico, se dá acesso a dados analíticos em tempo real e, principalmente, se conta com um acordo de qualidade de serviço SLA (Service Level Agreement).

Portanto, quem busca uma maneira rápida e ágil de proteger seu site e seus dados pode contar com uma CDN para isso, apenas deve tomar o cuidado de escolher a melhor opção para sua empresa.

Veja no vídeo abaixo, como uma CDN pode ter ajudar a proteger e acelerar seu site:

,

Conheça os Tipos de Certificado SSL

tipos de ssl

 

Conheça os Tipos de Certificado SSL

 

Mesmo os administradores dos servidores das mais robustas companhias de tecnologia, os gerentes de produtos financeiros de instituições consolidadas, até mesmo startups que estão se lançando no mundo digital, todos querem segurança em suas transações online.

 

É errôneo ignorar o poder decisivo que a segurança tem na mente de um consumidor online. Imagine-se em um momento de escolha entre qual site optar para adquirir um novo produto. Ao encontrar três opções de preços atraentes, qual fator vai impulsionar sua próxima ação?

 

No perfil do consumidor atual, a credibilidade e privacidade dos dados na internet são relevantes no momento da compra. Sites com histórico e reputação na internet determinam a autenticação e inconscientemente ou conscientemente finalizam o que o usuário busca.

 

A credibilidade de um site pode ser estabelecida com reviews, que são comentários de compradores anteriores sobre o processo de pagamento, entrega e da utilização dos produtos e serviços, e claro, dos certificados de segurança.

 

Chamados de SSL, a sigla vem do termo em inglês Secure Socket Layer e basicamente tem a mesma funcionalidade de proteger, criptografar informações durante as movimentações entre o usuário e o servidor.

 

Um site que possui o certificado de segurança passa de http:// para https:// (Hyper Text Transfer Protocol Secure), sendo a letra s referente à segurança, e também passa a apresentar o cadeado com a palavra seguro.

url segura

 

 

Para se compreender a relevância do SSL, saiba que o Google notifica o usuário quando o site não é seguro.

A notificação pode vir com o sinal de informação abaixo, onde diz que não há garantia de segurança.

site inseguro

 

 

 

 

Ou já informa que não há segurança definitivamente.

url insegura

 

 

E mesmo ao forçar incluir o https, a mensagem é:

conexao insegura

Outro fator compete aos mecanismos de buscas, que não dão um bom posicionamento para sites sem segurança e isso faz com que o site não seja encontrado com facilidade na rede. Leia mais sobre o certificado SSL neste artigo.

 

certificados ssl

Tenha um Certificado de Segurança

 

Antes de adquirir um certificado, é função dos gerenciadores fazer uma análise para saber qual o mais apropriado. Trata-se de segurança interna ou externa? Quais as funcionalidades e limites do certificado? Será instalado em qual software ou servidor? De qual sistema estamos falando? E quais as políticas de segurança envolvidas?  

 

Por trás de toda técnica, geralmente uma questão muito importante é negligenciada, estamos falando da Confiança do Cliente. Escolher um certificado de segurança não envolve somente a funcionalidade mas preferivelmente tem que conquistar a confiança do seu cliente.

 

Hoje encontramos três tipos de certificados que oferecem três níveis de confiança do usuário, são eles: Domain Validated (DV), Organization Validated (OV) e Extended Validated (EV). Traduzidos significam Validação de Domínio, Validação da Organização e Validação Estendida, respectivamente.

 

Certificado de Validação de Domínio

 

Certificado de Validação de Domínio são certificados mais básicos que, como o próprio nome já diz, conferem a validade do domínio. Em geral, são mais baratos do que os outros mas têm funcionalidades que atendem a maioria dos sites.

 

Pode tranquilamente ser usado em sites e blogs que trocam informações via formulários, como nome, email, telefone, pois fornece criptografia básica, garantindo a privacidade das informações e que não haverá acessos de terceiros.

 

Certificado de Validação da Organização

 

Certificados de Validação da Organização são confiáveis já que as mesmas são minuciosamente autenticadas por agentes reais, conferidas em banco de dados hospedados por governos e documentadas para registro da veracidade.

 

No OV também conta validação das informações empresariais, sendo assim recomendadas para projetos comerciais ou sites com mais tráfego e informações a serem trocadas.

 

Portanto, confere-se a veracidade e responsabilidade da empresa por trás do domínio, o que eleva o nível de confiança do cliente.

 

Certificado de Validação Estendida

Este é o certificado mais confiável dentre os três e o mais usado e desejado pelas organizações, pois além de todas as comprovações empresariais de responsabilidade nas informações, também passa por auditoria anual e verificações minuciosas.

 

Sites que possuem este certificado, mostram o nome da empresa junto ao domínio, destacados em verde.

certificado EV

 

SSL x Navegadores

 

Além de informar se o site fornece segurança ou não, os navegadores não aceitam determinados certificados.

 

certificado não confiável

 

Este é um exemplo de acesso pelo Google Chrome:

 

Por isso, verifique a compatibilidade dos certificados com os navegadores mais utilizados pelo seu público para garantir a segurança nas transações.

 

Caso você já tenha concluído a instalação do certificado em seu site e percebe que ele ainda carrega como http e https, é preciso forçar o acesso dentro do seu painel. Entenda como forçar o acesso SSL em seu site neste artigo.

 

Conclusão

 

Esperamos ter esclarecido a importância de ter um certificado SSL no seu site e os motivos pelos quais isso requer estudo e análise antes da contratação.

 

Investimentos que melhoram a experiência do usuário agregam muito mais ao seu usuário do que simplesmente baixar o valor dos seus produtos. A decisão final do consumidor vai além disso.

 

Algumas empresas de hospedagem de sites oferecem Certificados SSL gratuitos para planos de hospedagem que já exercem o papel com bastante eficiência, proteger e assegurar os dados e transações do seu site.

 

Este artigo foi produzido pela Hostinger, referência no mercado de hospedagem de sites, além de oferecer hospedagem barata, serviços de registro de domínio, certificado SSL e VPS. O Grupo Hostinger Global atua no Brasil com as marcas Hostinger e WebLink.

Bloquear seu site contra o acesso de IPs de outros países

Você sabia que quase 97% destes ataques de hackers a sites são originados fora do Brasil. E, mesmo os ataques brasileiros, são muito mais focados em computadores pessoais, com técnicas como Phishing e cavalos de tróia, do que ataques a servidores. (Veja os países mais perigosos, que geram mais ataques de hackers)

Rapidamente podemos concluir que, ao bloquear o acesso de IPs de outros países ao seu site, você pode reduzir drasticamente a possibilidade de ter seu servidor atacado por um hacker.

Além disso, se você tem um comércio eletrônico que vende apenas no Brasil, ou um Blog WordPress com artigos apenas em Português, qual é o sentido de deixar as portas escancaradas para que qualquer hacker, de qualquer lugar do mundo, possa te invadir? Você está correndo um risco totalmente desnecessário, concorda? Então aprenda abaixo uma pouco sobre o WAF.

Pelos motivos apresentados acima, cada dia mais blogs, sites e e-commerces tem utilizado o bloqueio de IPs internacionais como um forte reforço de segurança para seus servidores de internet. Esses bloqueios são normalmente feitos através do que chamamos de WAF, ou seja, Web Application Firewalls.

Este tipo de firewall é uma barreira que fica entre o seu site e o resto do mundo, evitando que um infinidade de tipos de ataques sequer cheguem a acessar seu servidor.

Existem atualmente algumas empresas que fornecem WAF no Brasil. Uma delas é a GoCache, que além de acelerar seu site através de uma CDN, ainda incorpora gratuitamente um WAF, para trazer mais segurança para suas aplicações na internet.

Se você já usa GoCache, veja como é simples bloquear o acesso de IP de outros países ao seu site:

No Painel de controle você escolhe o domínio ou site que deseja proteger e clica em segurança.

Depois, você clicará em Firewall e adicionará uma nova regra, que vai bloquear todos os IPs de um Continente.

Escolha, por exemplo, o continente Asiático:

Depois você escolhe uma “Ação do Firewall”, no caso será “Blacklist”, que significa que nenhum destes IPs (da ásia) poderá acessar seu servidor.

Depois basta clicar em Salvar. Você pode salvar esta regra só pra este domínio ou para todos os seus domínios que estão na GoCache, como preferir.

Pronto, com esta simples regra você está se protegendo de qualquer hacker que esteja em países da Ásia, incluindo países perigosos como China, Índia, Taiwan e Coréia. Só estes países já representam quase 50% dos ataques a sites no Mundo!

Mas lembrando que, apesar de ter grande parte de seu território na ásia, a Rússia é considerada um país Europeu e é uma das grandes fontes de ataques hacker no mundo. Então vamos nos proteger de acessos vindos de IP da Rússia também.

Repita o processo, mas dessa vez escolha “País” ao invés de “Continente”, depois escolha Russian Federation. Escolha “Blacklist”. Salve e estará pronto.

Você poderá repetir o processo para outros países ou continentes que desejar.

Depois, clique na aba “Geral”, escolha um nível de segurança e clique em ligar (On/Off).

Veja que seu firewall estará inicialmente em “Modo de Segurança” do tipo “Simular”. Isto significa que ele estará detectando as ameaças mas não estará bloqueando, estará apenas simulando.

E pra que serve essa simulação? É aconselhável você simular os bloqueios antes de colocá-los em prática, pois você pode ver se não está bloqueando algo que não queria.

Suponha, por exemplo, que você tem uma comunidade enorme de brasileiros que compram em seu website lá do Japão, mas você tinha esquecido. Na simulação você verá que está bloqueando os acessos de seus compradores do Japão e poderá então decidir colocar o Japão na sua “WhiteList”.

Você pode ver os acessos que seriam bloqueados clicando em “Eventos”.

Por fim, quando estiver feliz com as configurações que fez, bastará voltar na aba Geral e trocar “Simular” por “Bloquear”.

Pronto, agora seu site estará a salvo da grande maiorias do ataques de hackers que ocorrem pelo mundo.

Mas, se você ainda não usa a CDN da GoCache, faça um teste gratuito agora mesmo.

,

21 Dicas de Segurança pra Proteger seu site WordPress

É muito comum ver os proprietários de sites WordPress irritados com questões de segurança.

A opinião mais comum é que um software de código aberto (open source) é vulnerável a todos os tipos de ataques. Mas isso não é verdade – normalmente é o contrário. Ou, ok, digamos que é parcialmente verdade, mas mesmo assim você não deve culpar o WordPress.

Por quê? Porque costuma ser sua culpa que seu site tenha sido hackeado. Existem algumas responsabilidades que você precisa ter como proprietário de um site. Então, a questão-chave é sempre: o que você está fazendo para garantir a segurança do seu site?

Vamos ver abaixo alguns truques simples que podem ajudá-lo a proteger seu site WordPress:

protecao wordpress

Parte (a): Proteja a página de login e evite ataques de força bruta

Todos conhecem a URL padrão da página de login do WordPress. O backend do site é acessado a partir daí, e essa é a razão pela qual as pessoas tentam entrar na força bruta. Basta adicionar /wp-login.php ou /wp-admin/ no final do seu nome de domínio e pronto, o hacker já sabe a URL que deve atacar.

O que recomendamos é personalizar o URL da página de login. Essa é a primeira coisa a ser feita para começar a proteger seu site.

Abaixo estão mais algumas sugestões para proteger sua página de login:

 

1. Configurar bloqueio do site e proibir os usuários

Um recurso de bloqueio limitando o número de tentativas de login pode resolver um enorme problema, pois não dará mais pra ficar usando força-bruta, testando milhares de senhas. Sempre que alguém tentar hackear com senhas erradas e de forma repetitiva, o site ficará bloqueado e você será notificado dessa atividade não autorizada.

O plugin iThemes Security é um dos melhores plugins desse tipo, e já o uso há muito tempo. Esse plugin tem muito a oferecer a esse respeito. Você pode especificar um certo número de tentativas de login, após as quais o plugin proíbe acessos do endereço IP do invasor.

 (Alternativamente, você também pode usar o plugin Login LockDown que foi criado para ajudá-lo especificamente com esse problema.)

2. Use a autenticação de dois fatores

Apresentar a autenticação de 2 fatores (2FA) na página de login é outra boa medida de segurança. Nesse caso, o usuário fornece detalhes de login para dois componentes diferentes. O proprietário do site decide o que esses são esses dois fatores. Pode ser uma senha regular seguida de uma pergunta secreta, um código secreto, um conjunto de caracteres, etc.

Há pessoas que preferem usar um código secreto ao implantar o 2FA em seus sites. O plugin do Google Authenticator pode ajudar com isso em apenas alguns cliques.

3. Use o email como login

Por padrão, você deve inserir seu nome de usuário para fazer login. Usar uma ID de email em vez de um nome de usuário é uma abordagem mais segura. Os motivos são bastante óbvios. Os nomes de usuário são fáceis de prever, enquanto as IDs de e-mail não são. Além disso, qualquer conta de usuário do WordPress sempre é criada com um endereço de e-mail exclusivo, tornando-se um identificador válido para iniciar sessão.

O plug-in de Login por Email do WP funciona muito bem para isso. Ele começa a funcionar logo após a ativação e não requer nenhuma configuração.

Para testá-lo, basta sair do seu site e, em seguida, fazer login novamente, mas desta vez use o endereço de e-mail com o qual você criou a conta.

4. Renomeie seu URL de login

Alterar a URL de login é algo muito fácil de ser feito. Por padrão, a página de login do WordPress pode ser acessada facilmente em wp-login.php ou wp-admin, adicionado à URL principal do site. Exemplo: http://seublog.com/wp-admin

Quando os hackers conhecem a URL da sua página de login, eles podem tentar entrar na força bruta. Tentam fazer login com o GWDb (Guess Work Database, ou seja, um banco de dados de nomes de usuário e senhas, por exemplo, nome de usuário: admin e senha: p@ssword … com milhões de tais combinações).

Então, até este momento – se você acompanhou – já restringimos as tentativas de login do usuário e trocamos os nomes de usuário por IDs de e-mail. Agora podemos substituir o URL de login e eliminar 99% dos ataques diretos de força bruta.

Este pequeno truque restringe a entrada de alguém mal intencionado na página de login. Somente alguém com a URL exato pode fazer isso. Mais uma vez, o plugin iThemes Security pode ajudá-lo a alterar seus URLs de login. Algo como:

  • Altere wp-login.php para algo único; por exemplo my_new_login
  • Alterar /wp-admin/ para algo único; por exemplo my_new_admin
  • Mude /wp-login.php?action=register para algo único, ex: my_new_registration

5. Ajuste suas senhas

Trabalhe com as senhas do site e mude-as regularmente. Melhore sua força adicionando letras maiúsculas e minúsculas, números e caracteres especiais. Esse Gerador de Senha, por exemplo, pode te ajudar nessa tarefa.

ajuste de senha

Parte (b): proteja seu painel de administração

Para um hacker, a parte mais desejada de um site é o Painel do Administrador, que é de fato a seção mais protegida de todos. Então, atacar a parte mais forte é o verdadeiro desafio e, se cumprido, dá ao hacker uma vitória moral e o acesso para causar um dano enorme.

Veja o que você pode fazer para se proteger:

6. Proteja o diretório wp-admin

O diretório wp-admin é o coração de qualquer site do WordPress. Portanto, se esta parte do seu site for violada, todo o site pode ficar danificado.

Uma maneira de evitar isso é proteger com senha o diretório wp-admin . Com essa medida de segurança, o proprietário do site pode acessar o painel exibindo duas senhas. Um protege a página de login e a outra a área de administração do WordPress. Se os usuários do site forem obrigados a acessar algumas partes específicas do wp-admin , você pode desbloquear essas partes enquanto bloqueia o resto.

Você pode usar o plugin AskApache Password Protect para proteger a área de administração. Ele gera automaticamente um arquivo .htpasswd , criptografa a senha e configura as permissões de segurança do arquivo.

7. Use SSL para criptografar dados

A implementação de um certificado SSL (Secure Socket Layer) é uma jogada inteligente para proteger o painel de administração. O SSL garante a transferência segura de dados entre os navegadores dos usuários e o servidor, dificultando a invasão de hackers ou a falsificação de suas informações.

Obter um certificado SSL para o seu site WordPress não é um problema. Você pode comprar um de algumas empresas dedicadas, ou mesmo utilizar um Certificado SSL Gratuito .

O certificado SSL também afeta o ranking do seu site no Google. O Google classifica sites com SSL superiores aos que não possuem. Isso significa mais tráfego. Quem não quer isso?

8. Adicione contas de usuários com cuidado

Se você tiver um blog do WordPress com vários autores, então você precisa lidar com várias pessoas que acessam seu painel de administração. Isso pode tornar seu site mais vulnerável a ameaças de segurança.

Você pode usar um plugin que force seus usuários a usarem senhas fortes, assim você garante que as senhas que utilizam sejam seguras. Esta é apenas uma medida de precaução.

9. Altere o nome de usuário do administrador

Durante a instalação do WordPress, você nunca deve escolher “admin” como o nome de usuário da sua conta de administrador principal. Esse nome de usuário é fácil de adivinhar e acessível para hackers. Metade do trabalho dos hackers já estará feita, só vão precisar descobrir a senha, pois já sabem o ID do administrador.

Novamente, o plugin de iThemes Security pode interromper tentativas de Login do usuário Admin, de forma inteligente, proibindo imediatamente qualquer endereço IP que tente fazer login com esse nome de usuário.

 

10. Monitore seus arquivos

Se você quiser alguma segurança extra adicionada, você pode monitorar as alterações nos arquivos do site através de plugins como Wordfence ou, novamente, iThemes Security.

Parte (c): Proteja o banco de dados

Todos os dados e informações do seu site são armazenados no banco de dados. Cuidar disso é crucial. Aqui estão algumas coisas que você pode fazer para torná-lo mais seguro:

11. Altere o prefixo da tabela de banco de dados do WordPress

Se você já instalou o WordPress, você está familiarizado com o prefixo wp- table que é usado pelo banco de dados. É recomendado que você mude isso para algo único.

O uso do prefixo padrão torna o banco de dados do site propenso a ataques de injeção SQL. Esse ataque pode ser evitado mudando wp- para algum outro termo, por exemplo, você pode usar mywp- , wpnew- , etc.

Se você já instalou seu site do WordPress com o prefixo padrão, então você pode usar alguns plugins para alterá-lo. Plugins como WP-DBManager ou iThemes Security podem ajudá-lo a fazer o trabalho com apenas um clique de um botão. (Certifique-se de fazer uma cópia de segurança do seu site antes de fazer qualquer coisa no banco de dados).

12. Faça backup de seu site regularmente

Não importa o quão seguro o seu site é, sempre há margem para melhorias. E no final das contas, manter um backup, longe de seu servidor original, talvez seja o melhor antídoto, não importa o que aconteça.

Se você tem um backup, você sempre pode restaurar seu site WordPress para um estado de trabalho sempre que desejar. Existem alguns plugins que podem ajudá-lo a esse respeito. Por exemplo, existem todos estes.

protecao para wordpress

Se você está procurando uma solução premium, então eu recomendo o VaultPress pela Automattic, o que é excelente. Eu tenho configurado para criar backups a cada 30 minutos. E se alguma coisa ruim acontecer, eu posso facilmente restaurar o site com apenas um clique. Além disso, ele também verifica meu site em busca de malware, e me avisa se alguma coisa está acontecendo.

Outra opção é utilizar o site DropMySte. Ele faz backups diário dos seus arquivos e do seu banco de dados, e é super fácil restaurar caso tenha problemas.

13. Defina senhas fortes para o seu banco de dados

Uma senha forte para o usuário principal do banco de dados é uma obrigação!.

Como sempre, use letras maiúsculas, minúsculas, números e caracteres especiais para a senha. Recomendamos mais uma vez usar um gerador de senhas para isso

 

Parte (d): Proteja sua configuração de hospedagem

Quase todas as empresas de hospedagem afirmam fornecer um ambiente otimizado para o WordPress, mas ainda podemos dar um passo adiante:

14. WAF (Web Application Firewall)

Ao falarmos em proteção de Hospedagem, não há nada mais eficiente e completo que o novo conceito de Firewall para Web, mais conhecido como WAF – Web Application Firewall para WordPress.

O WAF para WordPress é um filtro de acesso ao ser servidor de hospedagem, que aplica um conjunto de regras, com o objetivo de proteger seu site de ataques comuns, tais como Cross-Site Scripting (XSS) e SQL Injection e DDoS. Isso tudo, antes mesmo do atacante sequer chegar ao seu servidor de hospedagem.

Esse tipo de serviço é muito recomendável e pode ser contratado individualmente, ou como parte integrante dos serviços disponibilizados por uma boa CDN (Veja o que é CDN).

WAF - Web Application Firewall

15. Proteja o arquivo wp-config.php

O arquivo wp-config.php contém informações cruciais sobre sua instalação do WordPress e, de fato, é o arquivo mais importante no diretório raiz do seu site. Protegê-lo significa proteger o núcleo do seu blog WordPress.

É difícil para hackers violar a segurança do seu site se o arquivo wp-config.php se tornar inacessível para eles.

A boa notícia é que fazer isso é realmente fácil. Basta pegar o seu arquivo wp-config.php e movê-lo para um nível superior ao seu diretório raiz.

Agora a questão é, se você armazená-lo em outro lugar, como o servidor irá acessá-lo? Na arquitetura atual do WordPress, mesmo que o arquivo de configuração seja armazenado um nível acima do diretório raiz, o WordPress ainda poderá vê-lo.

16. Proibir a edição de arquivos

Se um usuário tiver acesso de administrador ao seu painel do WordPress, ele pode editar quaisquer arquivos que façam parte da instalação. Isso inclui todos os plugins e temas.

No entanto, se você não permitir a edição de arquivos, mesmo que um hacker obtenha acesso de administrador ao seu painel do WordPress, eles ainda não poderão modificar nenhum arquivo.

Adicione o seguinte ao arquivo wp-config.php (no final):

define('DISALLOW_FILE_EDIT', true);

17. Conecte o servidor corretamente

Ao configurar seu site, conecte o servidor somente através de SFTP ou SSH. O SFTP é sempre preferido ao invés do FTP tradicional por causa de seus recursos de segurança que, claro, não são atribuídos ao FTP.

A conexão do servidor dessa maneira garante transferências seguras de todos os arquivos. Muitos provedores de hospedagem oferecem este serviço como parte de seu pacote. Caso contrário – você pode fazê-lo manualmente (procure no google por tutoriais, vai achar muita coisa).

 

18. Defina as permissões do diretório com cuidado

As permissões de diretório incorretas podem ser fatais, especialmente se você estiver trabalhando em um ambiente de hospedagem compartilhado.

Nesse caso, alterar arquivos e permissões de diretório é uma boa jogada para proteger o site no nível de hospedagem. Definir as permissões de diretório para “755” e os arquivos para “644” protegem todo o sistema de arquivos – diretórios, subdiretórios e arquivos individuais.

Isso pode ser feito manualmente através do Gerenciador de arquivos, dentro do seu painel de controle de hospedagem, ou através do terminal (conectado via SSH) – use o comando “chmod”.

Para mais informações, você pode ler sobre o esquema de permissão correto do WordPress ou instalar o plugin iThemes Security para verificar suas configurações de permissão atuais.

 

19. Desativar listagem de diretórios com .htaccess

Se você criar um novo diretório no seu site e não colocar um arquivo index.html dentro dele, você ficará surpreso ao descobrir que seus visitantes podem obter uma listagem completa do diretório e de tudo o que está lá dentro.

Por exemplo, se você criar um diretório chamado “dados”, você pode ver tudo nesse diretório simplesmente digitando http://www.seublog.com/dados/ no seu navegador. Nenhuma senha ou qualquer coisa é necessária.

Você pode evitar isso adicionando a seguinte linha de código no seu arquivo .htaccess :

Options All -Indexes

Parte (e): proteja seus temas e plugins do WordPress

Temas e plugins são ingredientes essenciais de qualquer website do WordPress. Infelizmente, eles também podem representar sérias ameaças à segurança. Vamos descobrir como podemos proteger os temas e plugins do WordPress da maneira correta:

20. Atualize regularmente

Todo bom produto de software é suportado por seus desenvolvedores e é atualizado frequentemente, o WordPress não foge à regra é atualizado com muita frequência. Essas atualizações destinam-se a corrigir erros e às vezes possuem patches de segurança muito importantes.

Não atualizar seus temas e plugins pode significar sérios problemas. Muitos hackers contam com o fato das pessoas não se preocuparem em atualizar seus plugins e temas. Na maioria das vezes, esses hackers exploram erros e falhas de segurança que já foram corrigidas nas versões atuais.

Então, se você estiver usando os produtos do WordPress, atualize-os regularmente plugins, temas, tudo.

21. Remova o número da versão do WordPress

Seu número de versão atual do WordPress pode ser encontrado com muita facilidade.

Isso é algo básico, se os hackers sabem qual versão do WordPress você usa, é mais fácil para elas criarem o ataque perfeito.

Quase todos os plugins de segurança que mencionamos acima podem ajudar você, ocultando o número de versão do seu WordPress.

,

Firewall Global na GoCache – proteção simples e eficiente para seus sites

Lançamento GoCache – Firewall Global

Novidade saindo do forno da nossa equipe de desenvolvimento! Clientes GoCache com múltiplos domínios em nossa plataforma contam com uma nova funcionalidade, o Firewall Global.

 

Qual é a diferença do Firewall Global?

 

Na GoCache todas as configurações são isoladas por domínio. O Firewall aplica as regras de whitelist/blacklist somente para o domínio onde foram configuradas.

Já o Firewall Global permite que as regras sejam aplicadas para os demais domínios presentes na conta.

Isso é extremamente útil para clientes com múltiplos domínios, como por exemplo é o caso das plataformas de e-commerce e agências digitais.

No dia a dia da operação deste tipo de cliente são comuns as tentativas de ataques. Muitas vezes sem saber qual site era o ofensor, havia a necessidade de criar uma regra de Firewall em cada domínio para mitigar esses acessos maliciosos na GoCache. Agora, com um único clique (ou chamada em nossa API), uma regra pode ser aplicada a todos os domínios de uma só vez.

 

Como funciona o Firewall Global?

 

No menu “Segurança” do seu painel de controle, acesse a aba “Firewall” e crie a regra desejada. Você verá que agora os botões exibidos na conclusão da regra são “Salvar para este domínio”, “Salvar para todos domínios”, além do botão “Cancelar”.

 

firewall global

A opção “Salvar para todos domínios” faz com que a regra seja automaticamente replicada para os demais domínios presentes na conta.

É possível identificar a regra global na lista de regras pois ela é assinalada como aplicável a todos os domínios:

firewall global regras

A regra global é exibida na lista de regras de firewall no mesmo formato para todos os domínios de uma mesma conta, no exemplo deste artigo a regra foi criada para o domínio gocache.com.br, veja o que aparece no painel do domínio gocache.net:

firewall global dominio extra

 

Com a implantação do Firewall Global as configurações de controle acesso ficam ainda mais fáceis e práticas para que administra múltiplos domínios na plataforma GoCache.

 

Safer, Faster, GoCache!

 

, ,

Como proteger seu site, loja virtual ou APP contra SQL Injection, XSS e Brute-Force usando WAF

Como proteger seu site ou loja virtual com WAF

 

Quem não está preocupado com a segurança da sua aplicação online? Quer saber como proteger seu site ou loja virtual com WAF? Vamos demonstrar neste artigo.

A configuração da segurança na camada de aplicação é crucial. Falhas podem levar a enormes prejuízos, financeiros e de reputação da sua marca.

Se você pensa que este é um problema exclusivamente das grandes empresas, ledo engano. Mais de 60% dos ataques têm como alvo as empresas de pequeno e médio porte. E a má notícia é que, caso um ataque destes seja bem sucedido, mais de 60% destas empresas irá fechar por não ter recursos suficientes para se recuperar.

Para um blog, perda ou deformação de conteúdo. Uma loja virtual pode sofrer roubo de dados, ou até mesmo fraudes em suas transações comerciais. Um aplicativo móvel pode ter suas chamadas de API clonadas e sofrer todos estes sintomas. A área administrativa de qualquer destas aplicações pode ser indevidamente acessada e o estrago pode ser irreparável.

Quem quer correr estes riscos?

Mas a pergunta que importa mesmo é, como saber se o seu site/loja/app está vulnerável? Ou se está na “mira” de algum usuário mal-intencionado?

Um case de uso do WAF

Resolvemos abrir um case para vocês, o do nosso próprio site – www.gocache.com.br

Em nosso site utilizamos o WordPress em sua última versão, com todos plugins atualizados e hospedado em servidor virtual.

Pouco antes de lançarmos nossa solução de WAF, partimos para o teste final, nada mais justo que testar a ferramenta em nosso site de produção.

A situação inicial

Ativamos o Web Application Firewall com alto critério de filtragem e em modo simulação, para que apenas fossem gerados logs, já que não queríamos arriscar um falso positivo.

Eis o resultado:

waf dia1

Tivemos apenas uma tentativa de acesso suspeita. Eis os detalhes do incidente:

log waf dia1

Pelas características do incidente deduzimos tratar-se de um robô, provavelmente sondando vulnerabilidades.

No segundo dia com a ferramenta ativa, percebemos que este tipo de acesso não era raro:

waf dia2

Foram 25 acessos que a ferramenta identificou como suspeitos.

Ao checar os detalhes destes eventos, identificamos o seguinte:
log1 waf dia2
log2 waf dia2

 

Além do acesso de um robô semelhante ao do primeiro dia, também houve tentativas de quebra de senha (brute-force) na área administrativa.

 

O tamanho do problema

Com o tempo o volume de acessos suspeitos foi aumentando consideravelmente. Ainda estávamos utilizando o modo de simulação da ferramenta para termos certeza de que não ocorreriam falsos positivos, ou que caso ocorressem poderíamos identificar e criar uma regra de filtragem que evitasse o falso positivo quando habilitássemos o modo de bloqueio.

Seguimos com o plano inicial, de gerar logs durante uma semana antes de ativar o bloqueio. Veja a que ponto chegamos:


waf dia4

waf dia4 pag2

log waf dia3

 

Sim, 14 páginas de log para o dia 13, apenas uma semana após o início do uso da ferramenta. Mais de 400 tentativas de ataque ao nosso site em apenas um dia.

 

A Solução

A esta altura já tinhamos dados suficientes para configurar uma regra de filtragem específica e então modificar o modo de funcionamento do WAF para “bloquear” ao invés de “simular”:

regra waf login

 

Note que para esta regra específica colocamos o WAF em modo “desafiar” ao invés de “bloquear”.  Isso porque para o tipo de ataque que identificamos, feito via robô, o desafio é uma medida um pouco menos drástica e quase tão eficiente quanto o bloqueio. O resultado desta regra é a exibição desta tela antes de apresentar os campos para autenticação na área administrativa do WordPress:

tela desafio waf

 

Com isso ficamos tranquilos para ativar o bloqueio completo dos acessos suspeitos.

 

Os Benefícios

O resultado, além da segurança da aplicação, é a economia de recursos computacionais e de rede, uma vez que os acessos bloqueados no WAF ficam na borda e não consomem a banda na infraestrutura de hospedagem.

Ou seja, além de proteção você também economiza.

Acreditamos que o uso de WAF não é mais uma opção, mas sim uma necessidade, e quem deixar para depois pode não ter tempo para se arrepender. É melhor prevenir do que remediar!

 

Melhores práticas de segurança em aplicações web

Melhores Práticas de Segurança em Aplicações Web

 

Se você está lendo este artigo, provavelmente está bem ciente da importância da segurança em aplicações web. É possível que você já tenha colocado em prática algumas medidas mencionadas aqui. Mas, como muitos proprietários de websites, apps e lojas virtuais, provavelmente não fez o suficiente para cobrir todas as áreas necessárias.

 

Se o seu site já foi afetado por algum tipo de ataque DDoS, ou se você leu a respeito do grande ataque que a empresa Dyn sofreu no final de 2016 derrubando milhares de sites relevantes, então você sabe que esta é uma grande preocupação. Como mostrado no gráfico abaixo, o número de ataques DDoS têm crescido consistentemente ao longo dos últimos anos e a tendência é que isso continue piorando.

 

ddos evolutionfonte

 

Quer saber o tamanho do problema? Tem um site que monitora os DDoS em tempo real:

http://www.digitalattackmap.com/

 

Ataques DDoS ocorrem na camada de rede, são por natureza volumétricos (em sua maioria) e dependem do seu provedor de hospedagem, datacenter ou CDN para serem apropriadamente mitigados. Normalmente, quando ocorrem, os provedores de infraestrutura tomam as providências necessárias para restabelecer o serviço.

Subindo alguns níveis no modelo OSI, voltemos à camada de aplicação. Embora não haja maneira de garantir 100% de segurança, pois é impossível prever tudo, existem medidas que podem ser utilizadas para reduzir as chances de ocorrência de problemas de segurança em aplicativos web. Quanto mais destas medidas forem tomadas simultâneamente, mais protegida estará sua aplicação.

 

 

Criar um plano de segurança para aplicações web

 

O primeiro passo para assegurar-se que você está utilizando as melhores práticas de segurança para aplicações web é ter um plano traçado. Com frequência as empresas adotam uma abordagem desorganizada para esta situação e acabam realizando muito pouco. Sente-se com sua equipe de segurança de TI para desenvolver um plano de segurança detalhado e acionável. É importante que este plano esteja alinhado com os objetivos da sua organização.

 

Por exemplo, talvez você queira melhorar seu compliance, ou talvez você precise proteger sua marca. É necessário priorizar quais aplicativos devem ser protegidos primeiro e como eles serão testados. Você pode optar por fazê-lo manualmente, através de uma solução em nuvem, através de software específico, de um provedor de serviços gerenciados ou por outros meios.

 

Embora o plano de segurança e a lista de verificação de cada empresa sejam diferentes e dependam da arquitetura de sua infraestrutura, é importante que você defina especificamente quais os requisitos de segurança a serem atendidos e os critérios para avaliação. A OWASP (Open Web Application Security Project), grupo especializado em segurança online, criou um checklist bem detalhado que você pode utilizar como base para a sua avaliação – link.

 

Além disso, se sua organização é grande o suficiente, seu plano deve relacionar os indivíduos dentro da organização que serão responsáveis pela manutenção contínua dessas melhores práticas. Finalmente, não se esqueça de levar em conta os custos em que sua organização incorrererá ao engajar essas atividades, pois este pode ser um fator decisivo na hora de priorizar.

 

Realizar um inventário das suas aplicações web

 

É provável que você não tenha uma ideia muito clara sobre quais aplicativos web sua empresa utiliza. Na verdade, a maioria das organizações tem muitos aplicativos “rogue” rodando sem saber, até que algo dê errado. Você não pode esperar manter uma boa política de segurança em aplicações web sem mapear detalhadamente quais aplicativos sua empresa utiliza.

 

Quantos são? Onde estão localizados? Executar esse inventário pode ser uma tarefa trabalhosa e é provável que leve algum tempo até sua conclusão. Ao fazê-lo, anote a finalidade de cada aplicação. Quanto maior a organização, maiores as chances de encontrar aplicações redundantes ou até mesmo inúteis. O inventário virá a calhar para as próximas sugestões, por isso invista o tempo necessário e certifique-se de obter os detalhes de cada aplicação utilizada.

 

Priorize suas aplicações web

 

Depois de concluir o inventário de seus aplicativos web, classificá-los em ordem de prioridade é o próximo passo lógico. Sem priorizar quais aplicativos focar primeiro, você terá dificuldade em fazer qualquer progresso significativo.

 

Classifique as aplicações em três categorias:

 

  • Crítico
  • Importante
  • Normal

 

As aplicações críticas são principalmente aquelas que podem ser acessadas externamente e contém informações de clientes. Estas são as aplicações que devem ser geridas em primeiro lugar, pois são as mais suscetíveis como alvos a serem exploradas por hackers. As aplicações importantes podem ser de uso interno ou externo e podem conter algumas informações confidenciais. Aplicações normais têm muito menos exposição, mas devem ser incluídas em testes por precaução, mesmo que em um segundo momento.

 

Categorizando suas aplicações assim você pode focar testes extensivos nas aplicações críticas e usar testes menos complexos (e caros) nas demais. Isso permite que você faça o uso mais eficaz dos recursos da empresa ao mesmo tempo em que pode alcançar resultados significativos com maior velocidade.

 

Priorizar Vulnerabilidades

 

Conforme você avalia sua lista de aplicativos web antes de testá-los, é necessário decidir quais vulnerabilidades valem a pena eliminar e quais não são tão preocupantes. A maioria das aplicações web tem muitas vulnerabilidades. Por exemplo, dê uma olhada no relatório abaixo, que avaliou e categorizou 9000 sites infectados:

 

hacked appsfonte

 

Eliminar todas as vulnerabilidades de todas as aplicações web não só não é possível como nem mesmo vale o seu tempo.

 

Mesmo depois de categorizar suas aplicações de acordo com a importância, será necessário um investimento considerável de recursos para analisá-las. Limitando os testes apenas às vulnerabilidades mais ameaçadoras, você economizará muito tempo e fará o trabalho muito mais rápido. Quanto à determinação das vulnerabilidades a serem focadas, isso realmente depende das aplicações que você está usando. Existem algumas medidas de segurança padrão que devem ser implementadas (discutidas mais adiante), porém vulnerabilidades específicas de aplicativos precisam ser pesquisadas e analisadas.

 

Mantenha em mente também que, à medida que o teste evolui, você pode perceber que ignorou certas questões importantes. Não tenha medo de interromper os testes para redefinir prioridades ou focar em vulnerabilidades adicionais. Lembre-se que no futuro este trabalho será muito mais fácil, pois será iterativo, o esforço inicial é o mais trabalhoso.

 

Executar aplicativos usando o mínimo de privilégios

 

Mesmo depois que todas as suas aplicações web forem avaliadas, testadas e sanitizadas contra as vulnerabilidades mais problemáticas, você não está a salvo. Cada aplicativo web possui privilégios específicos em computadores locais e remotos. Esses privilégios podem, e devem, ser ajustados para aumentar a segurança. Sempre use as configurações menos permissivas para todas as aplicações web. Isso significa que as aplicações devem ser “amarradas”. Somente pessoas com autorizações de alto nível devem poder fazer alterações no nível de sistema.

Este é um fator a ser considerado em suas avaliações iniciais, caso contrário você terá que repassar toda a lista ajustando as permissões de acordo. Para a vasta maioria das aplicações apenas os administradores de sistemas necessitam de acesso completo. A maioria dos outros usuários pode realizar o necessário com configurações minimamente permissivas. No caso improvável em que privilégios são ajustados incorretamente para um aplicativo e certos usuários não podem acessar os recursos de que precisam, o problema pode ser tratado pontualmente. É muito melhor ser demasiado restritivo nesta situação do que ser demasiado permissivo.

 

Proteja-se mesmo durante o processo de avaliação

 

Mesmo uma empresa pequena e simples pode levar semanas – ou até meses – para listar seus aplicativos web e fazer as alterações necessárias. Durante esse período o negócio pode estar vulnerável a ataques, portanto é crucial utilizar as ferramentas adequadas para evitar maiores problemas. Para isso existem algumas opções:

 

  • Remover funcionalidades de determinados aplicativos: se a funcionalidade torna o aplicativo mais vulnerável a ataques pode valer a pena restringir o seu uso.
  • Use um WAF (Web Application Firewall) para proteção contra as vulnerabilidades mais preocupantes.

como funciona wafO firewall de aplicação web filtra e obstrui tráfego HTTP indesejável e ajuda a blindar contra XSS, SQL injection e muito mais.

 

Durante todo o processo as aplicações web existentes devem ser monitoradas continuamente, para assegurar que não estão sendo violadas por terceiros. Se sua empresa, ou site, sofre um ataque durante este período, identifique o ponto fraco e faça a correção antes de continuar com o processo de checagem e sanitização. Você deve adquirir o hábito de documentar cuidadosamente as vulnerabilidades e como elas devem ser tratadas, para que as ocorrências futuras possam ser solucionadas de forma mais rápida e eficaz.

 

Use cookies de forma segura

 

Outra área que muitas organizações não aborda cuidadosamente é o uso de cookies. Os cookies são incrivelmente convenientes, tanto para empresas quanto para usuários. Eles permitem que os usuários sejam lembrados pelos sites que visitam, para que visitas futuras sejam mais rápidas e, em muitos casos, mais personalizadas. No entanto, cookies também podem ser manipulados por hackers para obter acesso a áreas protegidas. Apesar de não ser necessário interromper completamente o uso de cookies – o que seria um grande retrocesso em muitos aspectos – é necessário fazer ajustes a fim de minimizar o risco de ataques.

 

  1. Nunca use cookies para armazenar informações altamente sensíveis ou críticas, por exemplo não use cookies para lembrar as senhas dos usuários, pois isso facilita muito aos hackers a obtenção de acesso não autorizado.
  2. Você também deve ser conservador ao definir o prazo de expiração para os cookies. Claro, é bom saber que um cookie permanecerá válido para um usuário por meses, mas a realidade é que cada cookie representa um risco de segurança e quanto mais tempo durar, maior o tempo de exposição ao risco.
  3. Finalmente, considere criptografar as informações armazenadas nos cookies que você usa, isto já vai dificultar muito o uso de forma maliciosa.

 

Implementar as seguintes sugestões de segurança web

 

Além do que já mencionamos, existem algumas outras sugestões de segurança de aplicações mais “imediatas” que você pode implementar:

 

  • Utilize HTTPS e redirecione todo o tráfego HTTP para HTTPS;
  • Evite ataques de cross-site-script (XSS) usando o cabeçalho de segurança x-xss-security;
  • Implemente uma política de segurança de conteúdo;
  • Nunca é demais lembrar, use senhas fortes que empregam uma combinação de letras minúsculas e maiúsculas, números e símbolos especiais, etc.

 

Conduzir Treinamentos para Conscientização de Segurança em Aplicações Web

 

Em uma empresa, são grandes as chances de que apenas um punhado de pessoas compreenda a importância da segurança em aplicações web. A maioria dos usuários tem apenas a compreensão mais básica do problema e isso pode torná-los descuidados. Usuários sem instrução não conseguem identificar apropriadamente os possíveis riscos de segurança. Em essência, educar a todos sobre segurança em aplicações web é uma ótima maneira de envolver a organização no ato de encontrar e eliminar vulnerabilidades. Com isso em mente, considere a possibilidade de trazer um especialista em segurança de aplicativos web para conduzir treinamentos de conscientização aos seus funcionários. Isso é muito importante para ajudar na implementação e manutenção das melhores práticas.

Manter as melhores práticas de segurança em aplicativos web é um esforço de equipe. Sua segurança como um todo é limitada ao elo mais fraco, seja sistema ou membro da equipe. Mantenha isso em mente e busque identificar constantemente o elo mais fraco a fim de fortalecê-lo.

As 3 camadas de segurança na GoCache CDN

WAF, SmartRules e Firewall – 3 camadas de proteção para o seu site

 
Na GoCache um é pouco, dois é bom e três é demais!

 

Além dos benefícios que o Firewall e o WAF proporcionam, você ainda conta com o auxilio das nossas exclusivas e extraordinárias SmartRules, as regras que permitem customização inigualável.

 

Defina áreas específicas de sua aplicação e em questão de segundos as SmartRules serão aplicadas. Nosso painel dá acesso em tempo real aos eventos de segurança de qualquer camada. É um conjunto de tecnologias que proporciona flexibilidade e robustez inéditos no mercado!

 

As camadas (por ordem de processamento/prioridade):

 

2. Firewall
3. WAF

 

Conhecendo um pouco mais sobre cada uma das camadas:

 

# 1 camada: SmartRules

 

Com as SmartRules, é possível criar regras customizadas para determinadas áreas da sua aplicação, essa é a camada com a maior prioridade. As regras criadas nessa camada se sobrepõe às das outras camadas. Ative e desative as regras de Firewall, crie novas regras, ou altere todas as políticas de segurança do WAF para determinadas áreas de sua aplicação através das SmartRules.

 

# 2 Camada: Firewall

 

Crie um conjunto de regras para bloquear acessos indesejados, ou permitir acessos bem-vindos em toda a sua aplicação utilizando os seguintes critérios:

– Endereço IP/Range
– Pais
– Continente
– User Agent
– Referer Host
– URI

 

# 3 Camada: WAF

 

O WAF – Web Application Firewall – é uma funcionalidade que ajuda a proteger toda a sua aplicação das vulnerabilidades mais comuns na Internet: padrões comuns de ataques, SQL Injections e Cross-site scripting (XSS). Configure o nível de segurança e o modo de bloqueio desejado e pronto, toda a sua aplicação estará protegida.

 

– Níveis: Alto, Médio e Baixo

– Modos:

  • Simular: Entenda melhor o seu tráfego sem que os bloqueios sejam aplicados, qualquer acesso considerado “suspeito” será exibido no log de eventos em tempo real.
  • Bloquear: Bloqueia efetivamente qualquer atividade incomum em toda a aplicação.
  • Desafiar: Aplica um desafio(reCAPTCHA do Google) assim que identifica algo incomum no seu tráfego. Você define o tempo válido para esse desafio e, caso queira expirar os desafios temporários, pode fazê-lo imediatamente com um simples clique em seu painel de controle.

 

 Segurança para sua aplicação web como você nunca viu antes!

 

Go Faster. GoCache!