Você sabe se os sistemas que você utiliza são seguros?

Por Jonathan Silva em 10 mar 2017

5 minutos de leitura

Eu sou da área mais técnica da empresa, então tendo a ter artigos mais voltado à isso. Dessa vez irei falar da importância de alguns cuidados a mais com a segurança da informação dentro da empresa. Mas, prometo não ser extremamente técnico! 🙂

O que é Segurança da Informação?

Segurança da Informação é, como o nome sugere, o ato de cuidar das informações da empresa, garantindo desde o seu acesso somente à pessoas autorizadas até a sua integridade (não adianta nada se a informação chegar até a pessoa certa se ela tiver sido alterada no trajeto). Ela tem vários pilares, mas um dos principais (e o foco desse post) é o da confidencialidade, a propriedade que limita o acesso a informação tão somente às pessoas autorizadas.

Confidencialidade

Como dito acima, o dono da informação precisa saber que somente quem de fato pode, terá acesso às informações.

Por que focar nisso? Porque tenho visto que é um dos pilares mais importantes e, ao mesmo tempo, mais subestimado. E por que digo isso? Simples: quando se monta uma estrutura de redes dentro de uma empresa, muito se pensa na segurança daquela rede. Quando se contrata um funcionário se pensa em pôr no contrato os termos ligados à confidencialidade das informações às quais ele terá acesso, para evitar que o mesmo vaze as informações para os concorrentes. Mas e na hora de contratar um serviço online? Na hora de trocar aqueles e-mails com dados importantes? Se pensa em quão expostos seus dados poderão estar?

Alguns exemplos que mostram isso:

Yahoo

Recentemente a Yahoo anunciou que teve dados vazados de mais de um bilhão de contas. E, e-mails, especialmente de empresas grandes, são sistemas em que tendemos a confiar.

CloudFlare

Também recentemente a CloudFlare (uma empresa que cuida da segurança de milhões de sites) teve uma falha que pode ter permitido o vazamento de dados de diversos serviços, incluindo de empresas como Uber e até algumas empresas que lidam com dinheiro e ações de seus usuários.

Tendo em vista que a segurança dos dados é algo importante e até mesmo os grandes players do mercado estão sujeitos à falhas, como garantir que sua parte está sendo feita ao máximo?

Que cuidados devem ser tomados ao contratar um serviço online?

Verifique se o site tem o HTTPS instalado: sabe aquele cadeado que aparece em alguns sites como Facebook, Google, etc? Ele mostra que os dados que você está mandando para o site são criptografados. Se tiver algum ataque que tente pegar os dados no meio do caminho, ele é a garantia que o atacante terá, no mínimo, muito mais trabalho para ler seus dados. Na maioria dos casos ele falhará nessa tarefa..

Aqui na Laivon nossos sistemas tem o HTTPs instalado. E, quando fazemos algum sistema para um cliente também fazemos questão de garantir que ele esteja presente. Hoje em dia existem boas ferramentas gratuitas para isso. Não usá-las, se for possível, chega a ser uma irresponsabilidade, em minha opinião.

Faça uns testes no site, principalmente se o sistema for usado para tratar dados importantes (como os dados de seus clientes) e se o serviço em questão não tiver o HTTPS citado acima. Não precisa ser especialista para fazê-los. Mas, caso tenha alguém de TI na empresa, será mais fácil executar testes mais complexos. Usando ferramentas como o Charles Proxy, por exemplo, você consegue executar alguns testes bem interessantes, como nesse link: exemplo de falha encontrada usando o Charles Proxy.

Mas, você é um usuário comum e quer realizar alguns testes sozinho? Fácil também. Dependendo do caso você consegue testar diretamente no seu navegador.

Exemplo prático

Digamos, que você entre na página de um cliente e a note que a url ficou parecida com “http://empresaxyz.com.br/clientes/685”. Nesse caso, muito provavelmente, o 685 é o que representa o seu cliente na Empresa XYZ (um ID único). Então, simplesmente pegue, mude o 685 para algum número menor (523, por exemplo). Caiu em uma página de erro? Ótimo. Ou o cliente não existe ou não é da sua empresa. Carregou um cliente que não é seu?! Isso é péssimo.

Pensa comigo: se você conseguiu ver dados de clientes que não são seus, os seus dados também estarão expostos! Nesse caso, entre em contato com a empresa. Caso seja uma empresa que você goste, não desista dela na hora, mas observe como ela reage a uma falha de segurança relatada (falarei mais disso abaixo). Porém, caso note mais falhas, talvez seja a hora de procurar um serviço mais confiável.  E, você também pode buscar seus direitos legais, se desconfiar de que possa ter tido algum dado importante vazado.

Você talvez esteja pensando: “ah, mas isso é meio bobo. Nenhuma empresa vazará dados tão abertamente assim, direto numa URL. Seria uma falha muito grosseira”. Infelizmente você está errado, se pensar assim. Quando comecei a estudar segurança, testei vários sites e é incrível como muitos dados são facilmente abertos. Não citarei nomes por questões éticas, mas com 5 minutos analisando um site com o Charles obtive informações que me permitiriam criar um script bem básico que iria simplesmente me entregar os dados de todos os funcionários de uma empresa (incluindo telefones) em menos de 20 minutos! Com esse truque mais “bobo” da URL já consegui ter acesso a dados de formulários de diversas empresas também. Nesses casos, eu relatei os problemas às empresas, da mesma forma que gostaria que fizessem comigo caso achassem falhas nos meus sistemas.

Reação aos relatos

Nem sempre as empresas reagem de forma positiva à esse tipo de relatos. Então, sempre observe como a empresa reagiu à falhas anteriormente relatadas (ou às que você relatar). Nos exemplos que dei acima (Yahoo e CloudFlare) vemos dois casos extremos em como se tratar de uma falha de segurança.

O CloudFlare se pronunciou publicamente pouco depois de ter a falha resolvida e deu detalhes de como ela era, como foi identificada e como foi resolvida. Ponto para eles. A falha existiu e foi muito grave, mas tenha sempre em mente uma coisa: nenhum sistema é 100% seguro! O fato deles terem anunciado a falha mostra seu respeito ao público, e essa atitude mantém a confiança que os clientes têm neles. Aqui na Laivon usamos seus serviços e os mantemos, após verificar as medidas necessárias que foram tomadas após as falhas serem reveladas.

Já o Yahoo só revelou ter dados vazados anos depois (só revelaram no ano passado um falfa que ocorreu entre 2013 e 2014) e porque estavam em processo de compra por outra empresa. Isso lhes rendeu uma queda no valor de venda de muitos milhões de dólares, o que foi justo. Agora, me pergunta se mantenho a confiança no Yahoo como mantive no CloudFlare? Lógico que não!

Aqui na Laivon, como principal responsável por essa área, trabalho para sempre manter os dados internos e de clientes o mais seguro possível. Mas também aceito a frase que disse acima (nenhum sistema é 100% seguro) e estou preparado para corrigir qualquer possível falha que venha a existir, como sempre deve ser.

Meu intuito com esse post não é assustá-lo e deixá-lo desconfiado de todos os sistemas onlines que existem. A ideia é simplesmente lhe alertar de algo que vejo sendo muito negligenciado por aí. Espero que tenha gostado. Ficou alguma dúvida? Sinta-se livre comentar aqui embaixo ou falar diretamente comigo em [email protected]

 

Fontes:

https://pt.wikipedia.org/wiki/Seguran%C3%A7a_da_informa%C3%A7%C3%A3o

https://tecnoblog.net/204918/yahoo-vazamento-1-bilhao/

https://www.publico.pt/2017/02/24/tecnologia/noticia/cloudflare-uma-falha-que-divulgou-dados-sensiveis-de-milhoes-de-sites-1763233

http://www.fidelis.work/a-historia-de-uma-falha-de-seguranca-de-16-milhoes-de-reais/

 

A Laivon tem como objetivo acelerar a evolução de empresas através da tecnologia. Entre em contato e vamos construir algo grande juntos.

Fale com um Especialista

Comentários

comments

Inscreva-se

Assine nossa newslleter e receba conteúdos para tornar sua empresa cada vez melhor diretamente no seu e-mail.