O cadeado fechado não é sinônimo de segurança

Conversando com minha esposa perguntei se ela saberia distinguir entre um site seguro de um inseguro. Ela, já percebendo a pergunta capciosa, deu de ombros e respondeu: "Bom, o que me dizem é que é só olhar se tem aquele cadeado que fica lá embaixo no navegador." E logo acrescentou: "Mas eu aposto que não é só isso." Ela tinha razão e nesse post vou explicar que o cadeado é um, mas não o único, indício sobre se o site é seguro.

Pra minha esposa (e arrisco-me a dizer, pra maioria das pessoas), um site seguro é aquele onde ela não perde dinheiro. Ou seja, se for um site de compras, que eles realmente enviem o produto exato que ela pediu; se for um banco via Internet, que ninguém mais consiga movimentar a conta dela ou causar-lhe prejuízo.

O cadeado que aparece no navegador significa que o canal de comunicação entre meu navegador e o site é seguro contra interceptação. Um intermediário pode até grampear a linha, mas, como os dados são transmitidos em código, ele não conseguirá entendê-los. Grampeando a linha, um atacante não conseguirá saber o número da conta, nem a senha, nem que páginas exatas estamos visitando. Observe que isso é totalmente diferente do conceito de "seguro" que a minha esposa tem.

Todavia, eu entendo perfeitamente o porquê da insistência no cadeado: didática. Você deve, sim, preferir sites em que o cadeado apareça e evitar sites em que ele não apareça, especialmente para transações financeiras ou, sendo mais abrangente, qualquer coisa que você considere muito importante.

Pode parecer suficiente, mas talvez você não saiba que existem várias outras ameaças e vulnerabilidades que podem ser utilizadas como meios de comprometer a segurança de um site web sob vários aspectos diferentes. O projeto OWASP enumera o que eles consideram os dez tipos mais comuns de vulnerabilidades técnicas em sistemas web, as quais reproduzo aqui:

  • A1: Injection
  • A2: Cross-Site Scripting (XSS)
  • A3: Broken Authentication and Session Management
  • A4: Insecure Direct Object References
  • A5: Cross-Site Request Forgery (CSRF)
  • A6: Security Misconfiguration
  • A7: Insecure Cryptographic Storage
  • A8: Failure to Restrict URL Access
  • A9: Insufficient Transport Layer Protection
  • A10: Unvalidated Redirects and Forwards

Dessas dez, o "cadeado fechado" só trata o item A9. Há nove outros grandes grupos de vulnerabilidades ao qual um site pode estar sujeito.

Hoje existem alguns padrões e boas práticas para construção de web sites com intuito de deixa-los resistentes as vulnerabilidades e ameaças que rondam aplicações desta natureza. Felizmente trabalhamos com segurança e temos visto e participado de vários esforços de empresas que tem nos procurado e adequado suas aplicações e web sites aos padrões e boas práticas além da simples adoção do "cadeado fechado" ou outros produtos que possam proteger contra algumas ameaças.

Infelizmente, muito desse trabalho que é feito não fica evidente de forma que um leigo possa saber se um site é seguro ou não (até porque isso depende de definirmos exatamente "contra o que"). No entanto, "o cadeado" é um ponto que por se só, torna-se irrelevante diante do fato de queremos evitar qualquer prejuízo nas transações realizadas.

Isso tudo pode parecer desolador, mas a verdade é que temos que tentar estabelecer uma relação de confiança com os sites no mundo virtual, assim como fazemos quando vamos interagir com alguém na vida real. O ideal é não ter tanta "fé", e adotar uma postura cautelosa. Desconfie de tudo que fuja ao seu senso de normalidade e na menor dúvida não vá adiante. Minha esposa usa a velha técnica de procurar algumas referências, fazer uma ou duas transações de baixo valor e ver se tudo corre bem, nada muito diferente do mundo real. Como tantas vezes descobrimos, nem toda técnica do mundo sobrepuja o faro e bom senso femininos.

Espero que no futuro, a gente possa voltar a tocar nesse assunto com algo mais concreto, talvez uma lei que possa proteger você dos prejuízos no mundo virtual e evite que problemas simples fiquem acontecendo.

Nome:
  Substitua o padrão acima por seu nome. É sempre bom saber com quem estamos falando.
Email:
  Caso precisemos falar em particular com você. Não será exibido, então não lhe fará receber spam.
Texto:
  Aceita-se formatação à la TWiki. HTML e scripts são filtrados. Máximo 15KiB.
Ações:  
Enviando... por favor aguarde...
Comentário enviado com suceso -- obrigado.
Ele aparecerá quando os moderadores o aprovarem.
Houve uma falha no envio do formulário!
Deixei uma nota para os admins verificarem o problema.
Perdoe-nos o transtorno. Por favor tente novamente mais tarde.
Ricardo Nunes | 2013-03-11 15:47:55 | permalink | comentar | topo

Este texto além de demonstrar a "segurança" que muitos acreditam ter apenas por ver o cadeado, ou a página ser https ou outros fatores, achei muito interessante pois logo no ínicio ressalta um ponto muito importante feito, e destaco este aqui:

* "Conversando com minha esposa perguntei se ela saberia distinguir entre um site seguro de um inseguro" *, acho isso extremamente importante, muitas vezes criptografamos nossos discos, arquivos, usamos diversas tecnicas como as do Vserver ou snapshots, publicadas em outro artigo por kiko e esquecemos de coisas simples, como por exemplo, reeducar nossa própria casa em termos de segurança da informação, tema básico mas muitas vezes esquecidos.

Essa foi uma das primeiras atitudes que tive assim que comecei a trabalhar na área de segurança da Informação, explicar como tentar identificar (e o que é) uma página de phishing, como tentar evitar ser vitimas de fraudes, como escolher uma senha mais "forte", assim como a importancia da diversificação de senhas e métodos para cria-las e não esquecer, além de muitas outras tecnicas simples e que podem evitar grandes transtornos.

Por isso gostaria de frisar neste comentário além da excelente postagem, o interesse em manter em sua casa também um ambiente seguro, coisa que acredito que a maior parte dos profissionais da área devam fazer, mas sei que muitos também não se atentam a este detalhe.

Cleiton Martins | 2010-08-16 21:09:38 | permalink | comentar | topo

É isso João, muito bom. Começo não gostando do termo "site seguro" pra os que usam SSL... como assim seguro? contra o que? etc... Victor Hora postou algo recentemente sobre a interceptação de tráfego HTTPS proposta para ser realizada pelo ForeFront. E aí, num caso desse, o site do banco seria seguro ou inseguro? Quanto as vulnerabilidades em sistemas web, embora o OWASP seja a melhor referência, o top 10 deles definitivamente não engloba todos as possíveis falhas, ataques e problemas. Vale falar mais sobre isso tudo logo que possível, precisando de ajuda, estamos aqui.