Segurana de sites: seis ameaas que podem destruir seu site e como det-las

White paper Publicado em abril de 2013

Seu site a vitrine e a personificao da sua marca, alm de uma ferramenta essencial de vendas e marketing. Muito dinheiro investido para criar o site e atrair visitantes. Ele essencial aos negcios: seria uma catstrofe se essa vitrine fosse quebrada, sua reputao afetada e os visitantes desaparecessem. por isso que a segurana do site to importante.

Alm disso, as pessoas ainda sentem desconfiana ao fazer negcios online. A confiana e a segurana devem fazer parte de sua estratgia para o site, alm do design, da hospedagem, da otimizao SEO e do marketing. Ainda assim, as empresas nem sempre prestam ateno a esses fatores, e as consequncias so desastrosas. Este white paper lista seis ameaas ao seu site e o que voc pode fazer para se precaver.

1. Malware de sites
Servidores de sites podem ser atacados por malware da mesma forma como ocorre com os PCs desktop. O comprometimento de sites legtimos e sua utilizao para infectar os visitantes so tticas cada vez mais usadas por criminosos online: em 2012, a Symantec percebeu que esse tipo de ataque na Web havia triplicado1. Para piorar a situao, os proprietrios dos sites normalmente no sabem que seu site foi comprometido at que ele esteja na lista negra dos mecanismos de busca ou at que os clientes comecem a reclamar de infeces contradas no site. Os danos ao trfego do site e confiana dos seus clientes podem ser imensos. Os criminosos podem adquirir malware j pronto, como o conhecido toolkit Sakura, para instalao nos sites de outras pessoas. O malware verifica os computadores dos visitantes em busca de vulnerabilidades e escolhe a explorao mais eficiente para infect-los2.

Symantec ISTR 18 Assinaturas de ataque Symantec: toolkit de exploraes Sakura. http://www.symantec.com/security_response/attacksignatures/detail.jsp?asid=25761

2

No entanto, como os criminosos conseguem invadir o site? Mais uma vez, existem toolkits e guias que facilitam a descoberta e a explorao de sistemas vulnerveis. Por exemplo, o toolkit LizaMoon usava um tcnica de injeo de SQL para infectar milhes de sites3. Outras tcnicas exploram vulnerabilidades em sistemas de gerenciamento de contedo, em software de hospedagem de sites ou em sistemas operacionais de servidor.

Anncio online de um toolkit de malware Recomendaes:  Mantenha o software do servidor do site sempre atualizado com os patches e as atualizaes de segurana mais recentes. Controle o acesso aos sistemas mais importantes e use senhas fortes ou autenticao de dois fatores.  Receba diariamente uma avaliao antimalware das vulnerabilidades e verificaes do site ao usar os certificados SSL Secure Site Pro, Secure Site EV e Secure Site Pro EV da Symantec.

2. Malvertising
Os criminosos tambm podem ocultar infeces de malware em sites legtimos que utilizam anncios, por meio de propaganda mal-intencionada ou malvertising. No ano passado, aproximadamente 10 bilhes de visualizaes de anncios foram comprometidas dessa forma4. Essa forma de ataque insidiosa, pois o proprietrio do site normalmente tem pouco controle de quais anncios so apresentados em seu site ou de sua origem, e a verificao convencional pode ignorar um anncio infectado se ele no estiver visvel no momento da verificao. Os criminosos podem at comprar espao de anncio usando redes comerciais de anncios ou subverter ou invadir anncios existentes e injetar suas infeces. O simples acesso pgina que apresenta um anncio corrompido suficiente para uma infeco; no preciso clicar no anncio para ativ-lo. Sem uma boa proteo antimalware em seus PCs, os visitantes se arriscam a contrair uma infeco silenciosa. No entanto, se a infeco for detectada, eles podero saber que o site que a disparou perigoso, o que razovel, e certamente sua opinio sobre a empresa por trs do site ser afetada. Recomendaes: Use redes de anncios reconhecidas.  Sempre que possvel, limite a capacidade de os anunciantes executarem cdigo (por exemplo, use imagens estticas ou texto simples).  Experimente usar a ferramenta de segurana hospedada em nuvem Symantec AdVantage, projetada para bloquear malvertising por meio de monitoramento em tempo real e a capacidade de rastrear malware at sua origem.

3 4

CNNMoney: o ataque LizaMoon infecta milhes de sites: http://money.cnn.com/2011/04/01/technology/lizamoon/index.htm Online Trust Alliance, acessado em 12 de maro de 2013, https://otalliance.org/resources/malvertising.html

3. Lista negra dos mecanismos de busca

Os mecanismos de busca, como Google e Bing, verificam os sites em busca de malware e, caso encontrem ocorrncias no seu site, podem coloc-lo em uma lista negra. Isso significa que eles deixam de listar o site e de enviar trfego para ele e, dependendo do navegador do visitante, podem tambm exibir um aviso sobre a infeco antes que o visitante acesse o site, mesmo que ele digite o endereo diretamente. Ser includo na lista negra pode ter um efeito devastador sobre o trfego de seu site e a reputao de sua marca, afetando grande parte da dispendiosa otimizao dos mecanismos de busca. Mesmo que voc corrija o problema, poder levar tempo at que os mecanismos de busca voltem a exibir seu site nos resultados. O outro motivo para um mecanismo de busca incluir seu site em uma lista negra se voc violar as diretrizes do mecanismo (ou se der essa impresso) em uma tentativa de enganar o sistema para alcanar uma posio mais alta nos resultados de busca. O Google publica diretrizes teis sobre prticas recomendadas e inadequadas, incluindo detalhes de comportamento que incluiro seu site na lista negra5. O Google bloqueia cerca de 6.000 sites por dia6. At mesmo grandes nomes, como TechCrunch e o New York Times, j foram includos na lista negra porque inadvertidamente apresentaram anncios infectados.7 Proteja seu site contra malvertising e malware (consulte as sees anteriores). Evite adotar tcnicas dbias de otimizao para mecanismos de busca.  Inscreva-se nas ferramentas para webmasters do Google e do Bing e receba avisos por e-mail se seu site for includo na lista negra.

4. Avisos de segurana e certificados expirados

Imagine que voc seja um consumidor pronto para fazer uma compra mas, assim que clica no boto de confirmao, o navegador apresenta um aviso de segurana devido a um certificado SSL desatualizado. A chance de voc concluir essa transao diminuiu bastante. Na verdade, voc pensaria duas vezes sobre voltar ao site no futuro. Da mesma forma, se voc usar certificados SSL para proteger aplicativos e servios online e esses certificados expirarem, a confiana dos usurios em seu servio cair drasticamente.

TheVerge.com

5 6

Diretrizes do Google para webmasters: http://support.google.com/webmasters/bin/answer.py?hl=en&answer=35769 http://mobile.businessweek.com/articles/2012-05-07/protect-your-companys-website-from-malware Google Flags Ad Network Isocket for Alleged Malware; chrome blocks TechCrunch, Cult of Mac, others (Updated), The Next Web, acessado em 12 de maro de 2013, http://thenextweb.com/google/2013/01/15/google-flags-ad-network-isocket-for-alleged-malware-chromeblocks-techcrunch-cult-of-mac-others/

7

PERDA DE PRODUTIVIDADE

PERDA DE OPORTUNIDADES DE VENDAS

CHAMADAS PARA O SUPORTE TCNICO

APLICATIVOS INTERNOS

PERDA DE CLIENTES PARA A CONCORRNCIA

APLICATIVOS EXTERNOS

DANOS MARCA E CREDIBILIDADE

USURIOS TREINADOS PARA IGNORAR AVISOS

CHAMADAS PARA O ATENDIMENTO AO CLIENTE

Consequncias do vencimento inesperado de certificados SSL e dos avisos do navegador

As empresas com alguns poucos certificados e servidores enfrentam um grande desafio de gerenciamento. Quem responsvel por comprar e renovar os certificados? Como os registros so mantidos? Como voc impede compras falsas? Como voc gerencia os processos para garantir a renovao dos certificados em tempo hbil? Centralizar o gerenciamento dos certificados no apenas uma boa prtica, ele essencial para evitar expiraes acidentais ou renovaes no ltimo minuto. Recomendaes  Inspecione seus certificados em toda a organizao para saber o que possui, quem os fornece e quando eles expiraro.  Consolide os certificados sob um nico sistema de gerenciamento.  O Symantec Managed PKI for SSL fornece um toolkit hospedado em nuvem para o gerenciamento e a deteco de certificados. (Ele tambm inclui verificaes dirias de malware para sites voltados ao pblico.)  Configure alertas e anotaes em dirio para lembr-lo com antecedncia da expirao dos certificados. Com a Symantec, voc tambm ter um gerente de conta que o ajudar em todos esses processos.

5. Personificao fraudulenta de marca (phishing)

Os criminosos utilizam marcas e nomes conhecidos para encorajar as pessoas a fornecer informaes confidenciais ou instalar malware. Com frequncia, eles utilizam sites falsos para enganar os visitantes. O exemplo mais conhecido desse tipo de ataque, conhecido como phishing, quando um fraudador utiliza um site bancrio falso para fazer os clientes revelarem detalhes e senhas de conta bancria ou carto de crdito. Um novo mtodo adotado por scammers consiste em usar a mdia social para atrair pessoas a sites falsos, onde elas revelam informaes, como senhas de sites de mdia social, visando obter algum tipo de recompensa, como vouchers ou telefones.

Scam tpico em mdia social

Site falso com pesquisa fraudulenta Sites falsos e sequestro de marcas tornam essencial que empresas de boa reputao protejam e enfatizem a autenticidade de seus verdadeiros sites. Certificados Extended Validation SSL exibem um fundo verde e o nome da empresa na barra de endereo para confirmar a verdadeira identidade do site. O processo de autenticao e validao estendida inclui verificaes detalhadas da propriedade do site, dificultando a sua falsificao. Muitas empresas lderes, incluindo Twitter e Facebook, demonstram que seus sites so seguros por meio da implementao de SSL desde o login at o logoff (tambm conhecida como Always-on SSL). Isso significa que todas as pginas do site so criptografadas, e no somente as pginas de pagamento e outras pginas onde os visitantes inserem informaes confidenciais. O benefcio do Always-on SSL que a garantia obtida com um certificado SSL sempre exibida, o que significa que os clientes podem confiar no site desde o primeiro clique.

Recomendaes
 Use certificados SSL com Extended Validation para autenticar seu site e garantir aos clientes que eles no esto em um site de phishing.  Considere implementar o Always-on SSL usando certificados SSL Symantec Secure Site Pro, que fornecem uma garantia visvel de que a interao do usurio com seu site segura e est criptografada.

6. Preocupaes de segurana do cliente

Com a criminalidade e as preocupaes de segurana atuais, no surpreendente que as pessoas sejam cautelosas ao visitar sites e que busquem garantias de que esto seguras. Alm disso, a ateno dos seus visitantes muito disputada pela concorrncia. Existem 634 milhes de sites,8 e os visitantes avaliam os sites bem rapidamente: a visita mdia a uma pgina dura pouco menos de um minuto,9 e os primeiros dez segundos so crticos. Assim, fornecer garantias visveis muito importante. Marcas de confiana, como o Norton Secured Seal, indicam que voc leva a segurana a srio. Elas tambm demonstram que seu site verificado regularmente em busca de malware e outras vulnerabilidades. Essa garantia significa que 94% dos entrevistados em uma pesquisa recente mostraram mais probabilidade de prosseguir com uma compra online quando viam a marca10.

Exemplo do selo de confiana em resultados de busca

Com selo

Sem selo

A confiana comea antes de um visitante acessar seu site. Obviamente, essencial no estar relacionado em uma lista negra de mecanismo de busca, mas o Symantec Seal-in-Search fornece uma prova visvel de que seu site seguro nas pginas de resultados de um mecanismo de busca. Assim como ocorre com o selo Norton Secured Seal, o Symantec Seal-in-Search est includo em todos os certificados SSL da Symantec. Recomendao  Exiba sinais visveis no site (e, se possvel, em mecanismos de busca) de que ele seguro e confivel e de que verificado regularmente.

Pesquisa da Netcraft sobre servidores Web, dezembro de 2012: Jakob Nielsens Alertbox: How Long do users stay on web pages (Quanto tempo os visitantes permanecem em pginas da Web), 12 de setembro de 2011: http://www.nngroup.com/articles/how-long-do-users-stay-on-web-pages/. Estudo da Symantec sobre o consumidor online dos EUA, fevereiro de 2011.

http://news.netcraft.com/archives/2012/12/04/december-2012-web-server-survey.html.
9

10

Escolha o parceiro certo

Com tanto em risco, nunca foi to importante escolher um parceiro de segurana conhecido e confivel. A Symantec j protege mais de um milho de servidores Web em todo o mundo11. preciso ter uma viso holstica da segurana de seu site que v alm dos certificados SSL a fim de englobar criptografia, gerenciamento de certificados, marcas de confiana e verificao de malware e vulnerabilidades, entre outros. A Symantec define padres elevados para a sua prpria segurana; por exemplo, processos de autenticao auditados pela KPMG e data centers de nvel militar para a sua infraestrutura SSL. E, se voc estiver procurando confiana e segurana para o seu site, a Symantec o parceiro certo.

Para saber mais sobre o Symantec SSL e como os seus negcios podem se beneficiar, ligue hoje para 0800 56 29 24 ou visite www.symantec.com/en/uk/ssl-certificates-emea

11

Inclui subsidirias, afiliadas e revendedores da Symantec.

Siga-nos:

Compartilhar:

To speak with a Product Specialist 0800 56 29 24 or +41 22 54 50 288 Symantec Switzerland AG Andreasstrasse 15, 8050 Zurich, Switzerland www.symantec.com