Deveremos tratar, em outros artigos, outros aspectos relacionados à segurança na Web, como: aspectos relacionados à segurança da máquina, no cliente Web, dos dados em trânsito, assim como algumas recomendações para tornar seu servidor Web mais seguro
3. INTRODUÇÃO
• A Web foi projetada sem muita preocupação, ou quase nenhuma, com segurança. O
objetivo principal era disponibilizar informações de uma forma mais amigável que os
recursos disponíveis na época. Com o rápido crescimento da Web e com a diversificação
de sua utilização, a segurança se tornou um ponto de importância crucial, principalmente
para quem tem a Web como um dos principais apêlos comerciais. Este artigo aborda
alguns ítens de segurança que devem ser levados em consideração em um servidor
Web.
• Deveremos tratar, em outros artigos, outros aspectos relacionados à segurança na Web,
como: aspectos relacionados à segurança da máquina, no cliente Web, dos dados em
trânsito, assim como algumas recomendações para tornar seu servidor Web mais seguro.
6. DESENVOLVIMENTO
• Para um bom desenvolvimento devemos focar nas possíveis ameaças atuais e futuras.
• Atualmente, a Web enfrenta diferentes formas de ameaça que foram surgindo ao longo
de sua evolução. A Web não introduziu muito mais ameaças de segurança do que já
existia na Internet. A Internet funciona para a Web como seu mecanismo de transporte e
portanto herda suas vulnerabilidades de segurança. Devido à pressa na construção de
novas funcionalidades em todo o ambiente, projetistas não consideraram o impacto em
segurança que esta nova tecnologia causaria, deixaram de ver importantes pontos de
possíveis ataques e vulnerabilidades. A Web não demorou muito em caminhar da
comunidade científica para o mundo comercial. Neste ponto, as ameaças tornaram-se
mais sérias. Uma nova tecnologia encontrava-se disponível e muito atrativa para os
atacantes.
7. PRINCIPAIS AMEAÇAS
Integridade Confidenciabilidade Negação de Serviço Autenticação
Ameaças
- modificação de dados do
usuário
- browser cavalo de Tróia
- modificação de memória
- modificação de mensagens
em trânsito
- Eavesdropping (1)
- roubo de info/dado do servidor/cliente
- info da configuração da
rede/máquinas...
- info de qual cliente "conversa" com
servidor em trânsito
- bloqueio da conexão
- inundação da máquina com
solicitações bogus
- isolamento máquina por
ataques a DNS (2)
- personificação de usuários
legítimos
- falsificação de dados
Consequências
- perda de informação
- compromete a máquina
- vulnerabilidade para outras
ameaças
- perda de informação
- perda de privacidade
- interrupção
- aborrecimento
- impedir usuário realizar seu
trabalho
- má representação do usuário
- crença que informação falsa é
verdadeira
Medidas
- checksums (3) criptográfico - encriptação, Web proxies - difícil prevenir - técnicas criptográficas
Fonte: Google (2014)
8. PREVENÇÃO
• A prevenção de crimes cibernéticos pode ser simples. Quando o usuário estiver amparado por
pequenas recomendações técnicas e bom senso, muitos ataques podem ser evitados.
Normalmente, os criminosos on-line tentam obter lucros da forma mais rápida e fácil possível.
Quanto mais você dificultar essa tarefa, maior a probabilidade de eles desistirem de você e
passarem para um alvo mais fácil. As dicas abaixo fornecem informações básicas sobre como
você pode prevenir fraudes on-line.
• Mantenha seu computador atualizado com os patches e atualizações mais recentes.
• Verifique se o computador está configurado com segurança.
• Escolha senhas complexas e não as divulgue.
• Proteja seu computador com softwares de segurança.
• Proteja suas informações pessoais.
• Ofertas on-line que pareçam muito boas para serem verdadeiras, normalmente não são
verdadeiras.
• Examine seus extratos bancários e de cartão de crédito regularmente.
9. CONCLUSÃO
Algumas vítimas nunca se recuperam da exploração. Seu registro de crédito está para
sempre marcado com transação fraudulenta de um hacker, ele utilizam a lista endereços da
vítima e transmite-se a amigos e familiares, as vítimas de roubo de propriedade intelectual
gastam dezenas de milhões de dólares na reparação e prevenção.
A pior parte é que quase nenhum dos “cibercriminosos” está sendo processado com sucesso.
Os bandidos profissionais na internet estão vivendo livremente porque a web não é boa em
produzir evidências para um tribunal. É anônima por padrão, e provas são perdidas e
encobertas em milissegundos. À medida que amadurece, os paraísos penais seguros irão
secar. Até então, os profissionais de segurança de TI têm muito trabalho a fazer.
10. GLOSSÁRIO
1. Eavesdropping (computadores) é uma técnica de hacking que se baseia na violação da
confidencialidade. Uma analogia bastante razoável seria a ação de grampear um
telefone. É uma leitura não autorizada de mensagens.
Fonte: http://pt.wikipedia.org/wiki/Eavesdropping
2. DNS (Domain Name System)- sistema de nomes de domínios, e uma espécie de sistema
para tradução de endereços de IP para nomes de domínios.
Fonte: www.tecmundo.com.br
3. checksums (soma de verificação)criptográfico - é um conjunto de caracteres para conferir
a integridade do arquivo baixado.
Fonte: www.canaltech.com.br