seguranca-dados-internet

Descubra se o seu site ou loja estão protegidos e conheça recursos de seguranças essenciais

18 de agosto de 2022|

Com o recente ataque cibernético ao portal da Prefeitura da Cidade do Rio de Janeiro (em 15/08/2022), o momento pede, outra vez, que falemos de segurança na Web.

Relembrando

Em novembro de 2019 foi constatado que quase a metade dos domínios .gov do Brasil não possuíam certificação digital TLS ou SSL. O fato tornou-se notícia após uma invasão ao site do Detran do Rio Grande do Norte, que resultou no vazamento de dados de aproximadamente 70 milhões de brasileiros. Parece que a situação dos sites públicos e segurança online em geral não mudou muito.

Em 2021, os sites da Câmara Municipal do Rio de Janeiro, Renner e da JBS também foram vítimas da ação de hackers, que sequestraram o conteúdo, causando um prejuízo milionário para as duas organizações.

FALHAS DE SEGURANÇA E SEQUESTRO DE DADOS

Prefeitura do Rio e Nota Carioca

O portal da Prefeitura do Rio de Janeiro sofreu uma invasão hacker esta semana, na madrugada do dia 15 de agosto de 2022. O ataque foi registrado na Delegacia de Repressão aos Crimes de Informática (DRCI) que investiga o caso.

Segundo técnicos da Empresa Municipal de Informática e Planejamento (IplanRio), que retomaram o controle dos websites atingidos, os invasores tentaram furtar dados sigilosos do governo. A ação criminosa foi frustrada através de uma série de ações realizadas por uma equipe de especialistas. Contudo, o site da Nota Carioca, que é a nota fiscal eletrônica, e diversos outros serviços como transações imobiliárias e cadastro para receber benefícios sociais permanecem indisponíveis há três dias, gerando uma série de contratempos e prejuízos aos cidadãos e estabelecimentos.

Detran

Na época, a DigiCert analisou cerca de 19.900 domínios .gov . Desse montante, apenas 10.551 usavam HTTPS com certificado TLS e SSL, incluindo o portal único gov.br do governo federal lançado em 2019. Para saber se uma conexão é segura ou que usa criptografia, basta observar se há um ícone de cadeado na barra de endereço do navegador.

SUS

O ataque hacker sofrido pelo base de dados do SUS deixou uma série de sistemas importantes da pasta indisponíveis. Em nota oficial, o Ministério da saúde informou que uma série de sistemas foram afetados: e-SUS Notifica (sistema de notificação de casos de Covid), Sistema de Informação do Programa Nacional de Imunização (SI-PNI), ConecteSUS e funcionalidades, como a emissão do Certificado Nacional de Vacinação Covid-19 e da Carteira Nacional de Vacinação Digital.

A invasão foi definida pelos próprios hackers como “ransomware”, quando o conteúdo é “sequestrado” e cobra-se um valor, em dinheiro ou bitcoin (moeda virtual), para a devolução do material. 

Câmara do Rio

Já a invasão hacker sofrida pelo do site da Câmara Municipal do Rio de Janeiro foi constatada por funcionários do legislativo carioca nas primeiras horas da manhã do dia 13 de dezembro de 2021. Com o ataque, a página inicial do site oficial foi alterada. Os hackers riscaram o nome “Câmara Municipal” e o substituíram pela palavra inglesa “Hacked”, usada para sinalizar que a página fora atacada.

Em nota oficial, a Câmara informou que os conteúdos e os sistemas internos não foram afetados, e que a diretoria de TI da casa rapidamente trabalhou para restabelecer o portal e sanar eventuais vulnerabilidades.

Renner

Agosto 2021 – hackers sequestraram o e-commerce das Lojas Renner. A empresa sofreu um ataque por ransomware. O e-commerce da companhia ficou fora do ar e o usuário que tentou entrar no site foi avisado que estava em manutenção.

Na época, o comunicado oficial da empresa minimizou a situação informando que a maior parte das operações estavam restabelecidas e que os principais bancos de dados foram preservados.  Contudo, a empresa não divulgou sobre o tipo de ataque que sofreu e se houve pedido de resgate para recuperar os sistemas.  

JBS

30 de junho de 2021, USA – a subsidiária da JBS nos Estados Unidos sofreu um ataque e pagou um resgate de US$ 11 milhões (cerca de R$ 55,5 milhões) aos cibercriminosos que invadiram e bloquearam os sistemas digitais da companhia.

A JBS também foi vítima de um ataque ransomware, que tornou inacessíveis os dados armazenados em um equipamento e que exigiu um resgate em criptomoedas para restabelecer o acesso ao proprietário. A invasão afetou as unidades da empresa brasileira nos EUA, Canadá e Austrália. A companhia informou que o pagamento foi efetuado para minimizar danos aos clientes.

O fato é que ninguém ou nenhuma empresa está totalmente imune a ataques hackers como estes. Contudo, há uma série de esforços e precauções a serem tomadas para evitá-los. Dentre eles, podemos citar a boa administração dos certificados de segurança SSL e TSL.

O que é HTTPS, SSL e TLS?

HTTPS é a sigla em inglês de Hyper Text Transfer Protocol Secure, que em português significa “Protocolo de Transferência de Hipertexto Seguro”. É a combinação dos protocolos HTTP e SSL (Secure Sockets Layers, em inglês). A sigla aparece antes do endereço eletrônico do site que o usuário deseja acessar (URL), garantindo que se trata de uma conexão de dados segura entre o computador do usuário e os servidores que abrigam os sites acessados. Contudo, as conexões HTTPS não são totalmente seguras, sendo necessário a presença de software de segurança instalado no computador do usuário, e é sempre bom ficar atento a suspeitas de conexões duvidosas.

TSL e SSL são, também, protocolos de segurança. Foram criados para garantir que dados possam ser transmitidos, armazenados ou mesmo recebidos entre clientes e o servidor web. 

O SSL (Protocolo de Camada Sockets Segura, em inglês Secure Sockets Layer) garante a segurança do usuário ao acessar um site. Com o SSL, os dados enviados são criptografados de forma que outras pessoas não possam utilizá-los indevidamente. 

Já o TLS (Segurança da Camada de Transporte, em inglês Transport Layer Security) é geralmente usado como uma configuração nos programas de e-mail e tem seu papel em qualquer transação entre o cliente e o servidor. Pode operar em portas diferentes e usa algoritmos de criptografia fortes.

Nível de vulnerabilidade

A falta de segurança e o flerte com hackers não é um problema exclusivo dos websites do governo. Segundo pesquisa da empresa BigDataCorp, realizada em 2018, cerca de 40% dos sites brasileiros não tinham certificado de segurança com SSL (Secure Socket Layer). Logo, as páginas estavam vulneráveis a ataques de hackers e outras formas de invasões, além de prejudicar os sites em mecanismos de busca, como no caso do Google, que tem o HTTPS e o cadeado como importante critério de ranqueamento. E isso não mudou muito de lá pra cá. Algumas empresas passaram a se proteger mais de possíveis invasões, mas surgiram novos domínios na Internet que operam sem os certificados.

Quando não se adota o HTTPS, o sistema pode ser facilmente interceptado. Além disso, o HTTP também permite que uma cópia falsa do site possa ser exibida para enganar os usuários. As oportunidades para que as pessoas sejam induzidas ao erro são grandes. 

Segurança em e-commerces

A boa notícia quando o assunto é segurança é que pelo menos o setor de e-commerce, que se superou e expandiu durante a pandemia, merece destaque em relação à prevenção a ataques maliciosos. 

De acordo com a 7ª edição da pesquisa Perfil do E-Commerce Brasileiro, realizada através de uma parceria entre a BigDataCorp e o PayPal Brasil, foi observada uma evolução semelhante na utilização de certificados SSL (Secure Sockets Layer). Hoje, 92,39% dos e-commerces adotam essa tecnologia. Em 2020, o número era de 88,43%. 

Isso demonstra a crescente preocupação das empresas com a segurança dos clientes e um cuidado maior com o ranqueamento em sites de busca, uma vez que os sites que não têm SSL são despriorizados pelo Google.

Segurança online na Hostnet

A Hostnet tem um foco prioritário na segurança dos servidores, sites e demais produtos e serviços. São mais de 20 anos de experiência em TI com foco em qualidade. Investe constantemente em uma infraestrutura própria, alocada nos mais modernos e seguros data centers da América Latina, usufruindo atualmente da infraestrutura da Ascenty, com parques tecnológicos localizados em São Paulo, Rio de Janeiro, Ceará e no Chile.

Fundada em 2010, a Ascenty conta com 27 unidades em operação ou em construção. Todos os data centers estão em lugares estratégicos e são interligados por rede própria, nova e com 100% de fibra óptica, resultando em 5.000 km de extensão. Tudo isso com total disponibilidade da sua infraestrutura. Assim, o ambiente de TI estará sempre disponível. 

A hospedagem Hostnet conta com a tecnologia CDN (Content Delivery Network, ou Rede de Entrega de Conteúdo), uma rede composta de servidores espalhados geograficamente. 

Uma outra vantagem das CDNs é a segurança contra ataques do tipo DDoS (Negação de Serviço Distribuída). Este tipo de ataque é caracterizado por um número de requisições recebidas por um servidor muito acima do limite. Quando esse tipo de ataque ocorre, os sites hospedados nesse servidor tornam-se indisponíveis devido ao excesso de acessos simultâneos.

Com a tecnologia CDN, esse número anormal de requisições são distribuídos pelos servidores que compõem a rede e contém cópias do site que está sofrendo ataques. Assim, a investida é diluída por vários servidores, minimiza os efeitos da ameaça, e dificilmente o acesso chegará ao servidor raiz, que contém os dados originalmente armazenados. Esse serviço é disponibilizado gratuitamente para todos os clientes Hostnet.

Está gostando do assunto? Baixe gratuitamente o nosso e-book “Seus dados estão realmente seguros” e aumente a segurança da sua empresa e seus projetos na Internet.

Certificado Digital SSL na Hostnet

O SSL já vem habilitado por padrão para todos os clientes da empresa, através do recurso de segurança CDN utilizado em todos os sites hospedados nos seus servidores. Ou seja, o endereço do seu site terá o protocolo HTTPS e um cadeado ao lado afirmando que a conexão é segura.

Criptografia de e-mails com TLS

A Hostnet também possui o protocolo TLS (Transport Layer Security) em seus servidores de e-mail. Ou seja, o acesso à sua caixa de mensagens é criptografado, impedindo que o conteúdo de suas mensagens seja violado durante o envio e o recebimento.

E-mail seguro contra fraudes com a tecnologia DMARC

DMARC (Domain-based Message Authentication, Reporting & Conformance) é um movimento internacional em que os principais serviços de e-mail criaram para combater práticas maliciosas de Phishing e SPAM. Esta tecnologia estabelece padrões, que dizem como os servidores de e-mail que utilizam as tecnologias SPF e DKIM devem agir ao receberem mensagens eletrônicas. Dessa forma, sempre que o servidor de origem da mensagem usar a tecnologia DMARC, o servidor de destino irá certificar-se de sua real origem. Isso vai garantir maior segurança contra golpes online.

SPF – é um conjunto de regras publicadas através do sistema de DNS para identificar quais servidores podem enviar e-mails em nome de um determinado domínio. Com ele, caso alguém e use um e-mail falso, se passando pelo seu banco ou algum órgão público por exemplo, a mensagem falsa sairá de um servidor diferente do esperado. O papel do SPF é identificar esse procedimento ilegal e sinalizar ou descartar a mensagem conforme é definido pelo DMARC.

DKIM – A tecnologia DKIM é um sistema de assinatura de mensagens com criptografia de chaves públicas. Funciona assim: a chave pública de um domínio é fornecida pelo DNS, enquanto que a chave privada fica no servidor de envio da mensagem (SMTP) para garantir a autenticidade do remetente. Ou seja, um servidor que utiliza DKIM, ao receber uma mensagem assinada pelo servidor de envio, terá a certeza da integridade das informações nela contidas. Aí sim, a mensagem entrará em sua caixa de e-mail com a garantia de que ela não sofreu alterações pelo caminho, por ação de hackers.

Agora que explicamos um pouco sobre as tecnologias, vale ressaltar que as informações utilizadas pelos padrões SPF, DKIM e DMARC estão contidas no DNS. Ainda assim, seria possível um cracker/hacker habilidoso forjar este protocolo para enganar os servidores do destinatário. Desta forma, todas as medidas de segurança descritas até aqui seriam inúteis. Mas é aí é que entra mais uma tecnologia, também disponibilizada pela Hostnet, o DNSSEC.

O que é DNSSEC?

DNSSEC (Domain Name System Security Extensions) é uma extensão do protocolo internacional DNS que promove maior segurança na Internet diminuindo a possibilidade de fraudes. Seu objetivo é assegurar a sua autenticidade, validando os dados e garantindo a origem da informação. Mais uma vez, entra em cena a criptografia de chaves públicas, que permite verificar se os dados transferidos estão intactos. 

Na prática, o fato da Hostnet já dispor da tecnologia DNSSEC, aliada ao padrão DMARC, permite que as verificações SPF e DKIM sejam ainda mais seguras em sua validação, e consequentemente também serão seguras as mensagens que você vai receber pelo Ultramail.

E ainda tem mais, o IPV6

IPV6 – a versão mais recente do conhecido IP (Internet Protocol), padrão utilizado para comunicação entre todos os computadores ligados à Internet. Foi criado para atender o crescimento da web com uma nova versão, que além de incorporar diversas melhorias que facilitam a vida de quem opera as redes de comunicação, conta com criptografia. A Hostnet realizou a ativação em massa do IPv6 para os clientes de hospedagem que usufruem a tecnologia CDN em seus sites, e se antecipou (na época) para solucionar diversos problemas SOBRE SEGURANÇArelacionados ao esgotamento do IPV4.

Ponto de Troca de Tráfego Brasileiro (PTT) – são hubs (concentradores) onde provedores podem conectar seus servidores, facilitando o tráfego de informações. Estes PTTs garantem a conexão segura, rápida e mais confiável, o que impacta diretamente no desempenho de um site. A Hostnet tem servidores ligados aos principais PTTs da Internet brasileira. Assim, o acesso aos sites torna-se mais rápido, pois o percurso é sensivelmente menor.

Servidores de DNS em Cluster – é um conjunto de servidores que trabalham em grupo para realizar a tarefa de balancear a carga dos servidores gerando uma distribuição equilibrada no processamento dos dados. Esse método garante maior segurança aos servidores, já que sobrecarregar ou até mesmo derrubar todas as máquinas de um cluster é algo extremamente difícil de acontecer desta forma.

Podcast Hostcast fala sobre segurança online

Quer saber mais sobre Internet e segurança nos negócios? Ouça o podcast com o diretor de infraestrutura da Hostnet, Michel Machado, responsável pelas inovações que trazemos para o mercado de tecnologia.

LGPD – Lei Geral de Proteção de Dados

A Hostnet e suas agências franqueadas oferecem cursos e serviços de adequação de sites e lojas virtuais desenvolvidas na plataforma WordPress para a nova Lei Geral de Proteção de Dados, que entrou em vigor em agosto de 2021.

O curso Adequando Sites e Lojas Virtuais em WordPress à LGPD é gratuito e é indicado para profissionais da Web que vão trabalhar na adequação dos sites e lojas de seus clientes ou para os próprios empreendedores que desejam conhecer de forma mais aprofundada a LGPD e as providências que precisam tomar para estar de acordo com a nova lei.

As aulas são ministradas pelo diretor da Hostnet Ramiro Lobo e pelo professor Gustavo Guanabara. Os nossos mestres ensinam como enquadrar os sites e lojas virtuais construídas com o WordPress a nova Lei Geral de Proteção de Dados. Os cuidados vão muito além de instalar a barra de aviso informando sobre a coleta de dados, o aluno verá, no decorrer do curso, tudo que é necessário fazer para se proteger e aos clientes.

Assista a seguir a primeira aula do curso:

Podcast Hostcast explica a LGPD

Os diretores da Hostnet Kauê Linden,  Ramiro Lobo e professor Gustavo Guanabara conversaram com o advogado Reginaldo Silva, especialista em atendimento empresarial que vem assessorando organizações na adequação à Lei Geral de Proteção de Dados.

A Lei Geral de Proteção de Dados foi aprovada em agosto de 2018, de forma a regulamentar como as empresas devem armazenar, coletar e usar os dados pessoais de terceiros. O objetivo é proteger clientes, funcionários, fornecedores e demais indivíduos que, de alguma forma, mantenham relações comerciais com a organização contra abusos, golpes, roubo de dados e práticas comerciais inconvenientes. Os cuidados devem ser nos âmbitos online e offline.

Durante a conversa, Reginaldo explica como as empresas devem fazer para se adaptar à lei e evitar punições. As medidas vão muito além de instalar um aviso nos websites. Acompanhe a nossa conversa e saiba como proceder.

Agora que você sabe disso tudo, deve estar mais atento e pensando sobre a sua segurança na Web. Fale conosco, temos soluções para hospedagem e desenvolvimento de sites e lojas virtuais com recursos de segurança de dados e adequação a LGPD.

Links Relacionados: assuntos que podem ser do seu interesse

Hospedagem de Sites não é tudo igual 

Hospedagem de Sites Hostnet – Combo Cloud

Criação de Sites – a Hostnet faz para você 

Criação de Loja Virtua – A Hostnet faz para você 

Conheça o datacenter da Hostnet 

O que é criptografia?

 

Deixe um Comentário





HOSPEDAGEM DE SITES

ESPECIALIZADA EM WORDPRESS

SAIBA MAIS

Mais Lidas

melhores plugins wordpress

Os melhores plugins para WordPress em 2024

franquia hostnet marketing digital

Trabalhe com marketing digital e criação de sites com o apoio da Hostnet

curso-seo-gratis-hostnet-cursoemvideo

Hostnet e Curso em Vídeo oferecem curso gratuito de SEO

hospedagem-sites-barata

Hospedagem de sites barata. Hospedagem de site é tudo igual?

hospedagem wordpress

Combo Cloud: você paga pela hospedagem de site e recebe muito mais

hostcast-2

Henrique Rodrigues: do estágio na Hostnet ao cargo de Gerente de Engenharia no Nubank

Dos primeiros passos à excelência: a história de Amanda Taylor na Análise de Dados

A história de sucesso de Marcelo Vieira: da Infraestrutura à Engenharia de Dados

Conheça a jornada inspiradora do designer Ramon Felinto no Experience Podcast

Assine nossos FEEDS

Hospedagem de sites
para pequenos a grandes negócios

Saiba Mais