O início deste post pode parecer estranho... Mesmo assim, leia pelo menos o início para poder perceber melhor o que pretendo demonstrar. Execute uma simples pesquisa na Web que vai servir para mostrar algo que o vai surpreender. Introduza o texto que vê na imagem abaixo, diretamente no Google e clique no botão para pesquisar.
Nota: Deve escrever site:.pt e entre as palavras que estão dentro de parêntesis, deve colocar o caracter "pipe" (|). Este caracter é a barra vertical logo abaixo da tecla escape e que fica por cima da barra para a esquerda (\). O "pipe" é um operador do Google que permite pesquisar páginas que contenham o primeiro OU o segundo termo.
O que vai ler de seguida vai fazer muito mais sentido, se depois clicar em alguns dos links dos resultados do google.
O que acabou de acontecer? Esta pesquisa usa o operador site: que permite executar pesquisas num sub-grupo de websites, neste exemplo, todos os websites que têm como TLD (top-level domain) .pt, grosso modo, os websites registados no nosso Portugal. O que aparece entre parêntesis são os termos a pesquisar. Os mesmos foram escolhidos a título de exemplo. Pode até restringir a pesquisa só a um website, usando site:omeusite.pt, por exemplo.
Este post mostra uma coisa muito simples, mostra como podemos facilmente encontrar websites comprometidos por hackers.
Não é incomum encontrar websites que perderam 50% ou mais de visitas de um momento para o outro. É sabido que o número de visitantes flutua, uns dias mais outros menos, mas quedas abruptas devem ser sempre investigadas.
Uma das causas poderá ser atividade de um hacker! Estes “malfeitores” normalmente têm um objetivo em vista: explorar as vulnerabilidades dos websites para o seu ganho pessoal.
Mas afinal como e porque razão um hacker compromete websites?
Os hackers comprometem os websites, utilizando as suas vulnerabilidades, por vários motivos. Alguns deles são listados a seguir:
- Redirecionar o visitante para páginas que promovem produtos, normalmente ilegais. Esta técnica é parecida com o vulgar spam de email, com a diferença de usarem o nosso website para distribuírem os seus links maliciosos.
- Para instalarem vírus e malware nos pc's dos visitantes do website.
- Para nos levarem a comprar software que não necessitamos, por exemplo anti-vírus. Esta técnica é conhecida como “scareware”- Aparece uma mensagem de vírus no computador e “oferecem-nos” um link para comprarmos o anti-vírus que o elemina do computador.
- Para aumentarem a reputação do seu próprio website ou de clientes, redirecionando o PageRank do seu site para outros.
- Por brincadeira. Existem vários softwares automáticos disponíveis na internet que exploram as vulnerabilidades dos websites e que qualquer utilizador amador pode utilizar.
- Para mostrarem que conseguem. Certos hackers comprometem websites com grande reputação de serem seguros, só para poderem exibir as suas competências e ganharem o respeito dos seus pares. Alguns deles até acabam por ser contratados por empresas de segurança informática.
A forma como o fazem varia, aproveitam a vulnerabilidades do código do website, da base de dados que acompanha a generalidade dos websites ou até vulnerabilidades do servidor web onde é executado o website. Quando conseguem ganhar acesso, introduzem códigos específicos, na maioria das vezes javascript, nas páginas do website comprometido, ou até mesmo código fonte em PHP, Perl e ASP.net, quando conseguem acesso ao servidor.
Se o website se mantiver “infetado” por muito tempo, pode até ser removido dos resultados dos motores de busca. Esta é uma medida preventiva que alguns motores de busca utilizam para proteger os seus utilizadores.
Eu uso um bom software (Joomla, Wordpress, etc), por isso não estou preocupado...
Bem, isto é um pau de dois bicos. Por um lado, utilizar um software reconhecido tem vantagens, afinal, muita gente os utiliza, normalmente são desenvolvidos por empresas e/ou programadores reputáveis e são também normalmente de boa qualidade e segurança. Por outro lado, quanto mais populares forem, isto é, quanto maior for o número de instalações existentes, maior é a superfície de ataque e mais hackers se dedicarão a tentar encontrar as suas vulnerabilidades. Um software especifico, desenvolvido à medida pode ser também vulnerável e mais fácil de comprometer, mas também menos apetecível, excepto se for de uma empresa ou organismo que permita ganhos evidentes para o hacker.
Nenhum sistema é à prova de bala. Existem e existirão sempre vulnerabilidades, o que varia geralmente é a motivação do hacker.
Como saber se o meu site foi comprometido?
Existem várias formas de saber se o nosso website foi comprometido. Podemos até, com a ajuda dos motores de busca, descobrir vários exemplos de sites comprometidos ou que já estiveram comprometidos. Voltemos ao comando anterior:
Provavelmente estará chocado (eu sei, também fiquei...). Como é possível tantos sites, alguns de organizações respeitadas, estarem comprometidos e a maior parte deles continuam infetados sem ninguém fazer nada? Bem, alguma culpa recai nos profissionais da web, que criam software sem a preocupação com a segurança. A segurança deve ser por defeito, não algo que se pensará depois do produto feito. Certo é, como já referi, que nenhum sistema é completamente seguro, mas uma obrigação temos sempre de ter em mente – mantermo-nos vigilantes e utilizar as ferramentas à nossa disposição para detetar estes problemas e agir com rapidez. Este é o principal motivo para ter escrito este artigo.
Esteja atento, a parte 2 deste artigo vou falar sobre:
- Formas alternativas de detetar se os nossos websites foram comprometidos.
- O que fazer se isso acontecer.
- Como voltar a cair nas boas graças do Google (e dos outros motores de busca) no caso de penalização.
