Imagine a seguinte situação: você está navegando tranquilamente pela internet e, quando tenta acessar um site, depara-se com uma página inicial diferente. Em vez do conteúdo, tem uma mensagem esquisita indicando que o site foi invadido. É possível que isso já tenha acontecido, mas você sabe exatamente como esse ataque funciona e por que ele parece ser tão frequente? Abaixo nós explicaremos o que é deface e se tem como se proteger disso. Confira.
O que é deface?
O "deface" ou "defacement" é o processo de modificação do conteúdo que é exibido em um site. O mais comum nesse caso é que o invasor não costuma acessar a base de dados nem derrubar o servidor ou sequestrar as máquinas responsáveis: ele simplesmente deixa uma mensagem para os usuários e responsáveis, colocando o recado por cima da estrutura original.
Muitas comparações para entender o deface citam as pichações: é quase uma assinatura mesmo, com a diferença de que a parede é a página de outra pessoa. Em vez dos menus, dos textos e tal, aparece uma imagem escolhida e subida pelo hacker, além de uma assinatura para o invasor se identificar e marcar território, com uma mensagem que ele escolher.
E por que alguém faria isso? Bom, pode ser por qualquer motivo. Porém, os mais básicos vão desde testar o nível de segurança de um servidor até a mais pura brincadeira de um invasor. Entretanto, o deface ficou famoso também por ser um ataque para enviar mensagens de cunho político, como protestar ou denunciar algum acontecimento. Aqui no Brasil sites do governo, de políticos ou de partidos acabam se tornando alvos de deface.
Como é feito o deface em um site?
Para realizar o deface, o invasor precisa de alguma forma ganhar acesso a um ambiente que normalmente não é autorizado. Isso pode acontecer de várias formas, e algumas são bem óbvias, como conseguir a senha do servidor, da conta do protocolo de rede SSH ou da conta de administrador da página.
Isso pode ser feito por engenharia social, usando uma página falsa de login via phishing ou até por força bruta, caso seja um código fácil ou padrão do sistema. É possível até obter essa autenticação de forma mais complexa usando redes Wi-Fi inseguras, como aquelas abertas em aeroportos.
Outro método que permite o deface é a boa e velha injeção de SQL, que é inserir uma instrução de fora na codificação entre um aplicativo e o seu banco de dados. Essa técnica é bem famosa e difundida, dependendo do nível de segurança do servidor e o conhecimento do invasor, o deface é só uma das possibilidades de quem têm acesso a uma base de informações completa.
Além dessas, existe outra maneira, que em vez de atacar o site compromete-se o servidor DNS. Ele é o responsável por estabelecer a comunicação entre uma página e endereços de IP que desejam acessar o conteúdo ou então o responsável pelo domínio.
Isso normalmente é terceirizado, ou seja, não é necessariamente tarefa de uma gigante da tecnologia. Se for uma empresa de pequeno porte e sem grande compromisso de segurança, ela vira um alvo fácil. Esse não é exatamente um deface, porque não é mais uma "pichação" em cima de uma página, mas sim sequestrar o domínio e "colocar uma parede pichada nova" no lugar do site original, redirecionando os usuários para a mensagem.
Deface em sites brasileiros
Em 2015, vários sites nacionais sofreram um deface por supostos extremistas islâmicos, mas que na verdade podiam ser só invasores brincalhões mesmo. Eles deixaram uma mensagem no lugar do conteúdo de um dos sites mais clássicos da internet brasileira: o Pudim.com.br, que felizmente voltou rapidinho ao normal.
Já em janeiro de 2017, tivemos um caso famoso no Brasil. O Google nacional, além dos portais UOL e Folha de S.Paulo, tiveram o domínio redirecionado para uma mensagem. O ataque foi reivindicado por Kuroi'Sh, e a mensagem ficou cerca de 30 minutos no ar.
Problemas causados pelo defacement
Fora o aspecto visual, o ataque hacker pode impactar na perda de visitantes do site a curto e a longo prazos. Isso porque o conteúdo fica indisponível até a situação ser resolvida, além da confiança do usuário que pode diminuir devido à sensação de insegurança no site e por não ter como ele saber se além do deface, houve algum outro tipo de vulnerabilidade na página.
Outro grande problema está relacionado aos mecanismos de busca, como o Google, que costumam derrubar sites comprometidos nas páginas de resultados de pesquisas, caso o problema não seja resolvido rapidamente.
E claro que tem a questão da segurança do dono: se o site apresentou uma vulnerabilidade, mesmo que só na superfície, ele pode apresentar falhas também em níveis internos.
Como se proteger de um ataque?
Para se proteger, o importante é ter sempre um backup recente do sistema, para que seja fácil e possível restaurar a página a uma versão estável e original, sem qualquer tipo de invasão.
Além disso, sempre manter todos os plugins e softwares terceirizados atualizados para a versão mais recente, para que eles não apresentem vulnerabilidades e tenham melhorias de segurança.
E, caso você tenha sido vítima de um desses golpes, as dicas são as básicas de proteção digital: mudar as senhas de acesso, ter políticas de segurança de administração adequadas, bem como padrões de codificação seguros e monitorar qualquer tráfego suspeito. Se você tiver conhecimentos técnicos mais avançados, confira manualmente o código em busca de implementações suspeitas ou brechas.
Categorias