Topic: Protocolos de Segurança em Sites (Read 114 times)
Estava muito preocupado com a segurança dos meus dados. Por exemplo, costumo me comunicar com garotas no Omegle e ... bem, você sabe. Existem alguns momentos íntimos que eu não gostaria de ver mais tarde na Internet. No entanto, meu amigo, o programador, disse que o site está muito bem protegido. Espero que assim seja.
Como já estou fazendo esse post, vou quotar o que tinha em mente. 
Quote
Só um adendo importante: como você disse, o SSL só cria um túnel encriptado entre o computador e o servidor para dificultar que um intermediário roube as informações no meio do caminho. Mas isso significa que tanto faz quem é o servidor (!), já que o trabalho é apenas garantir o caminho, e não garantir a legitimidade do destino (servidor).
Muitos sites (inclusive o meu), usam certificados gratuitos do Let's Encrypt, que são praticamente indistinguíveis uns dos outros. De forma alguma o sinal do cadeado deve ser visto como um símbolo de "segurança garantida" e legitimidade, já que até sites phishing usam certificados SSL e é muito difícil alguém parar para verificar se ele é realmente o certificado emitido pelo site original. Já vi várias pessoas menos techsavvy achando que "cadeado verde = estou no site certo", o que é um erro gravíssimo.
Muitos sites (inclusive o meu), usam certificados gratuitos do Let's Encrypt, que são praticamente indistinguíveis uns dos outros. De forma alguma o sinal do cadeado deve ser visto como um símbolo de "segurança garantida" e legitimidade, já que até sites phishing usam certificados SSL e é muito difícil alguém parar para verificar se ele é realmente o certificado emitido pelo site original. Já vi várias pessoas menos techsavvy achando que "cadeado verde = estou no site certo", o que é um erro gravíssimo.
Eu de certa forma, acho que a culpa dessa ideia "cadeado verde = estou no site certo/site seguro" foi da Google/Chrome.
Eles quase obrigaram a que todos os sites usassem SSL, ao criarem mensagens a dizer que os sites que não usam eram inseguros. Basicamente banalizaram os certificados.
Quando uma ideia de segurança torna-se banal, fica mais fácil enganar as pessoas.
Qual é a finalidade de um simples blog, por exemplo, ter SSL? Zero. Não existe uma troca clara de informação confidencial.
Por isso, cabe a cada pessoa, estar atenta a todos os detalhes. Se desconfiar, não é só olhar para o cadeia, é ver o que ele diz.
Claro que se existir um roubo de DNS, a pessoa já tem de estar atenta a outros detalhes, mas ai fica mais difícil, principalmente para quem não conhece bem o site verdadeiro.
Em 2018 muita gente perdeu dinheiro na MEW por conta de um sequestro de DNS, ou algo assim..
E isso não é algo tão raro quanto parece... esse ano, ambas a Cream e PancakeSwap também tiveram o seu DNS sequestrado e começaram a apontar para um site falso que contava com um popup pedindo a seed da carteira[1]. Mesma situação... A "sorte" foi que os hackers foram burros e se contentaram com um popup que não engana aqueles que estão há mais tempo no mundo das cryptomoedas. Se eles tivessem apenas trocado - de forma silenciosa - os endereços no frontend por endereços de contratos maliciosos, poderiam ter drenado as moedas diretamente da carteira dos usuários (através do "approve" do contrato dos tokens ERC20), podendo enganar até as baleias com milhões de dólares.
[1] https://pancakeswap.medium.com/dns-incident-recap-36a183a2aee6
Em 2018 muita gente perdeu dinheiro na MEW por conta de um sequestro de DNS, ou algo assim..
A checagem do certificado poderia ter salvo a grana dessa turma
Fonte: https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum
A checagem do certificado poderia ter salvo a grana dessa turma
Fonte: https://www.theverge.com/2018/4/24/17275982/myetherwallet-hack-bgp-dns-hijacking-stolen-ethereum
É possível conseguir protocolos de segurança para um site malicioso mesmo os pagos. Muitas exchanges pedem pra conferir se o endereço no navegador está correto. O ideal é salvar o atalho ou favorito do endereço correto e usar sempre ele para acessar o site.
Estava escrevendo um post sobre isso mas o alegotardo foi mais rapido, então só deletei. Temos que ter em mente a ideia de que o certificado SSL só serve basicamente para proteger o caminho entre o client e o servidor. Ele não se preocupa com quem é o servidor, então você pode muito bem estar em um site que está fingindo ser outro.
Como já estou fazendo esse post, vou quotar o que tinha em mente.
Quote
Só um adendo importante: como você disse, o SSL só cria um túnel encriptado entre o computador e o servidor para dificultar que um intermediário roube as informações no meio do caminho. Mas isso significa que tanto faz quem é o servidor (!), já que o trabalho é apenas garantir o caminho, e não garantir a legitimidade do destino (servidor).
Muitos sites (inclusive o meu), usam certificados gratuitos do Let's Encrypt, que são praticamente indistinguíveis uns dos outros. De forma alguma o sinal do cadeado deve ser visto como um símbolo de "segurança garantida" e legitimidade, já que até sites phishing usam certificados SSL e é muito difícil alguém parar para verificar se ele é realmente o certificado emitido pelo site original. Já vi várias pessoas menos techsavvy achando que "cadeado verde = estou no site certo", o que é um erro gravíssimo.
Muitos sites (inclusive o meu), usam certificados gratuitos do Let's Encrypt, que são praticamente indistinguíveis uns dos outros. De forma alguma o sinal do cadeado deve ser visto como um símbolo de "segurança garantida" e legitimidade, já que até sites phishing usam certificados SSL e é muito difícil alguém parar para verificar se ele é realmente o certificado emitido pelo site original. Já vi várias pessoas menos techsavvy achando que "cadeado verde = estou no site certo", o que é um erro gravíssimo.
Excelente informação @joker_josue
Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
É possível conseguir protocolos de segurança para um site malicioso mesmo os pagos. Muitas exchanges pedem pra conferir se o endereço no navegador está correto. O ideal é salvar o atalho ou favorito do endereço correto e usar sempre ele para acessar o site.Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
Excelente informação @joker_josue
Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
Obrigado pela "adenda". Já adicionei.
Eu estou a preparar uma seria de artigos relacionado com segurança.
Excelente informação @joker_josue
Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
Muita gente não sabe o que é "cadeado" no navegador, apenas acredita que ele estando lá é porque está em um site seguro.
Seu tópico explica de maneira simples oque ele é e como conferir essas informações.
Importante fazer um adendo aqui também, de que não basta apenas ver se o site tem um "cadeado", já que um site clone pode muito bem conseguir um certificado válido grátis (tipo o letsEncript) mudando poucas coisas na url, muitas vezes bem imperceptível a olhos desatentos, e assim enganar o usuário fazendo-o pensar que está em um site seguro.
A segurança e a proteção do computador, tablet e smartphone é cada vez mais importante, visto ser nestes equipamentos onde guardamos os nossos dados pessoais e realizamos diversas tarefas delicadas, como compras/pagamentos online, aceder a conta do banco ou movimentar Bitcoins ou outras moedas. Com o Bitcoin e toda a tecnologia envolvida, nós podemos ser o nosso próprio banco.
Porque é importante haver segurança?
Os bancos tradicionais e os sistemas financeiros, tem 24 horas/7 dias por semana, pessoas e plataformas de segurança, prementemente a monitorizam os seus sistemas, para combater os ataques que possam enfrentar. A consultora Deloitte, estima que as instituições financeiras gastam em média 0,3% da receita e 10% de seu orçamento de TI anual, em cyber segurança. Isso são milhões de dólares investidos em segurança. Mas, segundo o timeline da Carnegie’s Cyber Policy Initiative, ao longo dos últimos 13 anos ocorreram mais de 200 ataques dignos de nota. Isto mostra que apesar de todo esse investimento, continua a ocorrer insidentes onde milhões de dólares é roubado.
Perante este panorama, é extremamente importante as exchanges, cloud wallets e serviços relacionados com as criptomoedas, bem como lojas online, serviços de pagamento, serviço de email, sites de bancos ou outros sites, onde são introduzidas informações pessoas confidenciais, devem utilizar protocolos de segurança para prevenir ataques.
Que protocolos de segurança são esses?
Visto que atacar os sistemas financeiros, tradicionais ou digitais (incluído criptomoeda), de forma direta é mais complexo, difícil e com menor taxa de sucesso. Os atacantes preferem atacar o utilizador final e/ou as ligações realizadas entre o cliente-sistema.
Por isso, é normalmente utilizado o protocolo de segurança Secure Sockets Layer - SSL (em português: Camadas de Sockets Seguras). Basicamente este protocolo serve para proteger os dados entre o utilizador e o site/serviço. O protocolo cria um túnel encriptado entre o computador e o servidor, dificultando o roubo de informação que passa por esse túnel. Isso permite que os dados de pagamento (por exemplo) estejam mais seguros contra o roubo ou a manipulação por terceiros.
Como saber se um site/serviço utiliza estes protocolos?
Estes protocolos são ativos automaticamente, sempre que um site/serviço o tenha, não sendo necessária qualquer tipo de intervenção por parte do utilizador. Os diversos navegadores de internet, assinalam os sites que utilizam protocolos de segurança com um "cadeado" junto ao endereço do site ou no rodapé da janela. Ao clicar sobre esse "cadeado" poderá obter as informações sobre o protocolo que esta a ser utilizado. Também, os sites que utilizam protocolos de segurança, o inicio do endereço é escrito por "https://".
Os sites que utilizam SSL apresentam ainda certificados de segurança, que permite comprovar que o URL (endereço) que está aceder é realmente da empresa/serviço, isso ajuda a perceber se o site que estamos aceder é realmente de quem diz ser. Um certificado invalido pode indicar que o site não é original ou que a sua ligação da internet pode estar corrompida. Estes certificados são adquiridos a empresas independentes dedicadas a segurança informática, e tem um prazo de validade. Para ter este certificado, normalmente o site tem de ter SSL.
Existem varias empresas que fornecem este tipo certificado, sendo as mais conhecidas:
Comodo SSL | DigiCert | GeoTrust | Thawte
Os certificados destas empresas são pagos, e normalmente os recomendados para sites/serviços que envolvam movimentos de dinheiro. Para sites mais simples, podem ser usados certificados gratuitos, que tambem tem uma boa camada de segurança, com os da Let's Encrypt.
Um exemplo
Repare por exemplo num dos serviços de exchange criptomoeda mais antigo do mercado: Coinbase.
Cadeado no topo e https no endereço
Ao clicar no cadeado, aparece informações sobre os protocolos e certificados utilizados.
Ao clicar em "Certificado", irá abrir uma janela com mais detalhes.
Todos os sites que não usarem este tipo de protocolos são inseguros?
Não propriamente. Com mencionado, nem todos os sites/serviços solicitam informação delicada. Se um site que não utiliza este tipo de protocolos ou certificados, não solicitar informações confidenciais ao visitante, não é um problema. Mesmo assim é recomendo usar os certificados gratuitos, que dão sempre um grão de segurança extra.
Já sites onde se pode realizar pagamentos, fazer compras online, sites de bancos ou de serviços ligados as criptomoedas, devem utilizar protocolos de segurança e certificados de empresas independentes e que forneçam altos níveis de segurança, para garantirem uma maior segurança na troca de informações entre o utilizador.
Resumo
Ao visitar um site, onde tem de introduzir informações delicadas, tais como numero cartões de credito, credenciais de acesso a sites de bancos ou a outros sistemas de pagamento, deve certificar-se que cumprem estes requisitos de segurança, caso contrario é recomendado não realizar essas tarefas por questões de segurança.
Tenha sempre em mente, que estes protocolos de segurança, servem apenas para proteger a comunicação entre si e o site/serviço. Por isso, procure manter o seu PC seguro e protegido, tendo uma navegação pela internet responsável.
Adenta
É importante sempre verificar o endereço do site, corresponde corretamente ao site/serviço que pretende utilizar. Os sites phishing podem muitas vezes utilizar certificados gratuitos, para tentar iludir as vitimas. Por isso, deve verificar se o endereço é o certo. De preferência, entre diretamente no site escrevendo o link no browser, em vez de clicar em algum link de um email (por exemplo).
Porque é importante haver segurança?
Os bancos tradicionais e os sistemas financeiros, tem 24 horas/7 dias por semana, pessoas e plataformas de segurança, prementemente a monitorizam os seus sistemas, para combater os ataques que possam enfrentar. A consultora Deloitte, estima que as instituições financeiras gastam em média 0,3% da receita e 10% de seu orçamento de TI anual, em cyber segurança. Isso são milhões de dólares investidos em segurança. Mas, segundo o timeline da Carnegie’s Cyber Policy Initiative, ao longo dos últimos 13 anos ocorreram mais de 200 ataques dignos de nota. Isto mostra que apesar de todo esse investimento, continua a ocorrer insidentes onde milhões de dólares é roubado.
Perante este panorama, é extremamente importante as exchanges, cloud wallets e serviços relacionados com as criptomoedas, bem como lojas online, serviços de pagamento, serviço de email, sites de bancos ou outros sites, onde são introduzidas informações pessoas confidenciais, devem utilizar protocolos de segurança para prevenir ataques.
Que protocolos de segurança são esses?
Visto que atacar os sistemas financeiros, tradicionais ou digitais (incluído criptomoeda), de forma direta é mais complexo, difícil e com menor taxa de sucesso. Os atacantes preferem atacar o utilizador final e/ou as ligações realizadas entre o cliente-sistema.
Por isso, é normalmente utilizado o protocolo de segurança Secure Sockets Layer - SSL (em português: Camadas de Sockets Seguras). Basicamente este protocolo serve para proteger os dados entre o utilizador e o site/serviço. O protocolo cria um túnel encriptado entre o computador e o servidor, dificultando o roubo de informação que passa por esse túnel. Isso permite que os dados de pagamento (por exemplo) estejam mais seguros contra o roubo ou a manipulação por terceiros.
Como saber se um site/serviço utiliza estes protocolos?
Estes protocolos são ativos automaticamente, sempre que um site/serviço o tenha, não sendo necessária qualquer tipo de intervenção por parte do utilizador. Os diversos navegadores de internet, assinalam os sites que utilizam protocolos de segurança com um "cadeado" junto ao endereço do site ou no rodapé da janela. Ao clicar sobre esse "cadeado" poderá obter as informações sobre o protocolo que esta a ser utilizado. Também, os sites que utilizam protocolos de segurança, o inicio do endereço é escrito por "https://".
Os sites que utilizam SSL apresentam ainda certificados de segurança, que permite comprovar que o URL (endereço) que está aceder é realmente da empresa/serviço, isso ajuda a perceber se o site que estamos aceder é realmente de quem diz ser. Um certificado invalido pode indicar que o site não é original ou que a sua ligação da internet pode estar corrompida. Estes certificados são adquiridos a empresas independentes dedicadas a segurança informática, e tem um prazo de validade. Para ter este certificado, normalmente o site tem de ter SSL.
Existem varias empresas que fornecem este tipo certificado, sendo as mais conhecidas:
Comodo SSL | DigiCert | GeoTrust | Thawte
Os certificados destas empresas são pagos, e normalmente os recomendados para sites/serviços que envolvam movimentos de dinheiro. Para sites mais simples, podem ser usados certificados gratuitos, que tambem tem uma boa camada de segurança, com os da Let's Encrypt.
Um exemplo
Repare por exemplo num dos serviços de exchange criptomoeda mais antigo do mercado: Coinbase.
Cadeado no topo e https no endereço
Ao clicar no cadeado, aparece informações sobre os protocolos e certificados utilizados.
Ao clicar em "Certificado", irá abrir uma janela com mais detalhes.
Todos os sites que não usarem este tipo de protocolos são inseguros?
Não propriamente. Com mencionado, nem todos os sites/serviços solicitam informação delicada. Se um site que não utiliza este tipo de protocolos ou certificados, não solicitar informações confidenciais ao visitante, não é um problema. Mesmo assim é recomendo usar os certificados gratuitos, que dão sempre um grão de segurança extra.
Já sites onde se pode realizar pagamentos, fazer compras online, sites de bancos ou de serviços ligados as criptomoedas, devem utilizar protocolos de segurança e certificados de empresas independentes e que forneçam altos níveis de segurança, para garantirem uma maior segurança na troca de informações entre o utilizador.
Resumo
Ao visitar um site, onde tem de introduzir informações delicadas, tais como numero cartões de credito, credenciais de acesso a sites de bancos ou a outros sistemas de pagamento, deve certificar-se que cumprem estes requisitos de segurança, caso contrario é recomendado não realizar essas tarefas por questões de segurança.
Tenha sempre em mente, que estes protocolos de segurança, servem apenas para proteger a comunicação entre si e o site/serviço. Por isso, procure manter o seu PC seguro e protegido, tendo uma navegação pela internet responsável.
Adenta
É importante sempre verificar o endereço do site, corresponde corretamente ao site/serviço que pretende utilizar. Os sites phishing podem muitas vezes utilizar certificados gratuitos, para tentar iludir as vitimas. Por isso, deve verificar se o endereço é o certo. De preferência, entre diretamente no site escrevendo o link no browser, em vez de clicar em algum link de um email (por exemplo).
Jump to: