Preventable But Often Ignored, Web App Attacks Expand Their Reach

Preventable But Often Ignored, Web App Attacks Expand Their Reach

Por Teresa Meek

Ataques na Web que roubam dados ou desfiguram um website há mais de duas décadas. Embora sejam razoavelmente fáceis de evitar, ainda causam problemas, e os problemas estão ocorrendo com mais frequência.

Os ataques, nos quais hackers obtêm acesso a um website digitando um código nos campos de formulário, aumentaram 25% em todo o mundo no ano passado, de acordo com dados do segundo trimestre publicados pela Akamai Technologies em seu relatório State of the Internet / Security. Os EUA são, de longe, o maior alvo, com 218 milhões de incidentes apenas no segundo trimestre.

A menos que as empresas tomem medidas preventivas, correm o risco de perder dados, clientes e receita.

Preventable But Often Ignored, Web App Attacks Expand
Um atraso de 100 milissegundos no tempo de carregamento afeta as vendas em até 7%, segundo um relatório recente da Akamai.

Tipos de ataques a aplicações Web

Os ataques a aplicações Web inserem um código em partes interativas de um website, fazendo com que o servidor libere dados ou execute arquivos prejudiciais. Eles vêm de várias formas, cada uma das quais pode prejudicar um negócio à sua maneira.

Um ataque de script entre sites, ou XSS, insere um código que pode desfigurar um website ou redirecionar usuários a um site falso para que os hackers roubem suas credenciais. Isso aconteceu com o eBay há alguns anos. Ataques de XSS foram responsáveis por 9% dos ataques a aplicações Web no último trimestre, de acordo com o relatório da Akamai.

Também prevalecem os ataques de inclusão de arquivos locais, ou LFI, os quais compreenderam 33% dos ataques a aplicações Web do segundo trimestre. Nesses casos, os hackers adicionam comandos codificados a campos interativos que solicitam acesso a arquivos confidenciais no servidor da Web. Em alguns casos, um ataque de LFI pode executar um código mal-intencionado.

O tipo mais comum de ataque a aplicações Web e, entre os mais graves, é a injeção de SQL, ou SQLi, o qual representou 51% dos ataques a aplicações Web no segundo trimestre. Nesses casos, um hacker digita comandos que podem forçar um servidor a revelar informações armazenadas nos bancos de dados.

Como o SQLi pode prejudicar

Ao procurar dados para roubar, um ataque de SQLi vincula os recursos de um servidor. Isso faz com que informações procuradas por outras pessoas, incluindo clientes, sejam carregadas mais lentamente. O atraso pode durar apenas milissegundos, mas pode ser muito tempo para alguns.

"Se uma página carregar de 30 a 100 milissegundos em vez de 10 a 20, esse pequeno atraso é suficiente para custar dinheiro aos negócios", disse John Summers, vice-presidente empresarial e gerente geral da Akamai Technologies. "Se você estiver vendendo algo, os clientes vão encontrá-lo em outro lugar. Isso pode significar perder milhões de dólares."

Um atraso de 100 milissegundos no tempo de carregamento afeta as vendas em até 7%, segundo um relatório recente da Akamai. Um atraso de dois segundos dobra o número médio de pessoas que saem de um website.

E há mais com o que se preocupar. Ao afastar clientes, o ataque também está extraindo informações de um banco de dados. Um único ataque pode retornar apenas uma pequena quantidade de informações. Mas, muitas vezes, os hackers atacam muitas vezes até extraírem todo o conteúdo do banco de dados.

Um ataque pode roubar nomes de usuário e senhas de contas dos clientes e acessar seu histórico de navegação e compras. Se uma empresa não criptografar as informações do cartão de crédito, também será possível obter dados de cartão.

Geralmente, os ataques não conseguem roubar dados criptografados. No entanto, se um desenvolvedor de website armazenar a chave de criptografia de maneira inadequada, um hacker poderá encontrá-la e usá-la para baixar números de cartão de crédito e outras informações particulares, afirma Summers.

Prevenção contra ataques

As empresas podem facilmente interromper ataques a aplicações Web. Uma maneira é programar os websites para impedir que o idioma do comando do computador seja inserido nos campos de resposta do cliente. Outra maneira é instalar firewalls de aplicações da Web.

Esses firewalls podem verificar o tráfego do website e alertar uma empresa caso os visitantes sejam de uma parte do mundo onde normalmente não fazem negócios.

"Se sua base de clientes for 99% europeia e você, de repente, recebe tráfego da Austrália, deve-se ter cuidado", afirma Summers.

O sistema de firewall da Akamai verifica se há tráfego incomum e também classifica endereços IP individuais, oferecendo uma pontuação de risco alto àqueles que estão envolvidos em outros ataques. Uma vez alertado sobre o tráfego suspeito, uma empresa pode aplicar controles adicionais de fraude antes de aprovar as interações.

Tomar medidas preventivas contra ataques a aplicações Web não é difícil, mas muitas empresas não investem recursos suficientes para torná-las eficazes. Outras pessoas não reavaliam seus websites para acompanhar o cenário de ameaças em constante mudança.

"Isso leva tempo, energia, dinheiro e vontade, e não tem sido uma prioridade", disse Summers.

Enquanto isso, os hackers estão vasculhando a Web procurando websites vulneráveis a ataques a aplicações. Eles têm até uma ferramenta que automatiza o processo de encontrar páginas prontas para um ataque de SQLi. Há vídeos no YouTube que explicam como usar a ferramenta.

Nesse ambiente, as empresas precisam ajustar suas prioridades para se preparar para ataques a aplicações Web, e não apenas ataques altamente divulgados, como aqueles que envolvem negação de serviço distribuído, afirma Summers.

"Os ataques a aplicações Web podem vincular recursos, causar atrasos, custar dinheiro, retirar dados de clientes e colocar você no noticiário", comentou Summers. "Eles não desligam o sistema como um ataque DDoS, mas, a longo prazo, têm o mesmo efeito nos seus negócios."

Teresa Meek vive e trabalha em Seattle. Com mais de 15 anos de experiência em comunicações, também escreveu para o Miami Herald e Newsday.

Conteúdo relacionado ao CIO