A Redbelt apontou quais são os ataques mais comuns aos sites, especialmente em períodos como a Black Friday, e como os lojistas devem fazer para proteger seu e-commerce e não perder vendas na data mais aguardada do ano pelo varejo online.
De acordo com Eduardo Bernuy, CSO da consultoria, os ataques DoS e os DDoS são os mais frequentes. O primeiro consiste a inúmeros acessos a um determinado site vindo de uma única localidade, podendo ser uma pessoa mal-intencionada ou um “chatbot”, visando torná-lo indisponível por um período. Por exemplo: o e-commerce tem uma limitação em seu servidor para receber até 1000 conexões por segundo e o atacante realiza 5 mil conexões por segundo. Com isso, ele consegue inviabilizar que qualquer outra pessoa consiga acessar o site naquele momento devido a utilização de todos os recursos do servidor. O segundo tipo de ataque, o DDoS, tem uma mecânica semelhante, mas é um ataque distribuído, ou seja, vários computadores ‘zumbis’ acessam simultaneamente aquele site, tirando-o do ar devido também ao mesmo motivo, nesse caso esses ataques são realizados a grandes sites e infraestruturas.
Há também os ataques que acontecem quando os hackers exploram as falhas já conhecidas (OWASP Top 10), existentes devido a mau desenvolvimento das aplicações ou configurações ineficientes e também falhas para explorar alguns tipos de controles específicos. Por exemplo: um determinado e-commerce fará uma promoção especial de iPhones para a Black Friday, abaixando consideravelmente o preço do produto, mas estabelece a regra de que cada CPF pode adquirir somente um aparelho, tentando evitar, assim, que comprem para uma possível revenda. “Este é o tipo de controle que geralmente os programadores fazem, seja por Javascript, seja por seção e até pelo número do CPF, porém em muitas vezes são controles ineficientes já que podem ser burlados facilmente por algum tipo de proxy ou por programas para “manipular” os scripts da página como o “Greasemonkey””, comenta Bernuy. “Nós não recomendamos o controle via Javascript”, reforça. Segundo o executivo, o mais indicado é proteger o site com algum tipo de Web Application Firewall (WAF). “Um WAF vai proteger aquela aplicação web da maioria dos ataques conhecidos hoje e dos maiores erros cometidos pelos desenvolvedores”, afirma.
O WAF tem como funções filtrar, monitorar e bloquear o tráfego HTTP/S de e para um aplicativo ou site da Web. De acordo com Bernuy, algumas vezes o lojista não sabe como corrigir o problema ou não tem ideia de que sua aplicação/ site está vulnerável. Com a instalação de um WAF, ele aumentará consideravelmente a segurança da aplicação.
Outro tipo de controle recomendado pela Redbelt é o Anti-DDoS, cuja proposta é identificar quando o tipo de acesso não é legítimo, ou seja, quando o acesso é feito por vários robôs e não por pessoas. “Geralmente a mesma solução que disponibiliza o Web Application Firewall também traz a solução de Anti-DDoS para aplicações Web”, explica. “Hoje, a Redbelt trabalha com a solução da Imperva que nos últimos seis anos foi a única recomendada pelo Gartner a prover este tipo de serviço”, destaca.
Para datas em que deverá ocorrer pico de vendas, como a Black Friday e outras importantes para o varejo, como Natal ou Dia das Mães, o CSO da Redbelt também aconselha o lojista a reforçar a capacidade de seu site para evitar indisponibilidades e, com isso perda de vendas ou até mesmo de clientes. “Se você acredita que seu site, que costumeiramente recebe cinco mil visitas/dia irá receber o dobro disso na Black Friday, deve deixar seu servidor preparado para receber o triplo”, aconselha.
Para casos como este, ele indica soluções em nuvem que não vão pesar no bolso do comerciante que não pode investir em mais servidores, por exemplo. “A Redbelt indica sempre o Microsoft Azure, pois, além de eficaz, permite que o lojista pague por escalonamento”. Em outras palavras, a solução é elástica e vai conseguir suportar o pico de demanda do site e depois voltará ao seu “tamanho” habitual e o lojista terá pago somente pelo quanto usou.
Outra dica é não investir em soluções de segurança somente nas datas especiais. Evidentemente que em datas de grande movimentação do varejo, as empresas investem mais em marketing, em campanhas promocionais e, por isso, ficam em evidência e tornam-se alvo de hackers, cujo objetivo é simplesmente causar uma queda para evidenciar sua “posição” de hacker, como para roubar dados, prejudicando ainda mais os lojistas e seus clientes. De acordo com o executivo, hoje é possível até mesmo contratar um serviço para derrubar sites, principalmente estes que estão na internet (surface web) ao alcance de todos ou seja, o “atacante” de hoje em dia não precisa de muito conhecimento para conseguir ter acesso a esses tipos de técnicas. “Os ataques são muito mais comuns do que se imagina. A preocupação do lojista com a segurança de seu site deve ser constante e não apenas em datas especiais. Há uma série de soluções para atender a diferentes portes de negócio, por isso é importante conversar com seu parceiro de TI”, conclui.