Firewall, SSL e atualizações de sistema operacional não são mais suficientes para conter ataques de hackers

Especialista em segurança contra hackers para portais de negócio via internet.

Site Blindado aumenta a credibilidade e a conversão de vendas em até 15%

A suíte de serviços do Site Blindado abrange desde a auditoria e análise da segurança

até a proteção ativa de portais web. Utilizando a tecnologia de Cloud Computing –

Security as a Service – todos os serviços podem ser acessados via internet, a partir

do Portal Site Blindado.

Os ataques baseados em falhas na aplicação web são realizados pelas portas 80 e 443 - geralmente as que ficam abertas no firewall - visando

acessar diretamente o banco de dados que armazena as informações sigilosas.

O Site Blindado analisa a segurança do seu site de forma abrangente:

Vulnerabilidades na Aplicação Web

Falhas de segurança em aplicações web podem permitir

que hackers acessem dados confidenciais, além de co-

meter crimes de roubo de identidade e fraudes.

Vulnerabilidades de rede (perímetro)

A análise dos IPs públicos, acessíveis via internet, evita

que falhas de configuração no firewall ou sistema ope-

racional permitam ataques diretos à infra-estrutura.

(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br/blog

Detecção de Malware

A execução diária desta análise evita que sites infec-

tados por algum software malicioso, contaminem os

computadores dos seus visitantes.

Validação de certificado SSL

Verifica se o certificado SSL está válido e atualizado.

Fases do A/B Test: Teste que avalia o aumento de conversão e ticket médio atribuída à exibição do selo Site Blindado.

Serviços Adicionais

(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br/blog

Tabela comparativa dos serviços Site Blindado

Serviço Segurança Frequência ObjetivoSite Blindado Preventiva Diária Auditar a segurança da aplicação web e IPs públicos

Super Site Blindado Preventiva On demandAuditar a segurança da rede interna (IPs privados) e ambiente de homologação

SSL EV Ativa 100% uptimeCriptografar/Codificar a comunicação entre o browser e o servidor web (páginas https://)

Firewall de Aplicação (WAF)

Ativa 100% uptimeIdentificar e bloquear tentativas de ataques na aplica-ção, bloqueando scripts maliciosos

Web Penetration Test Preventiva PontualTeste manual contra fraudes & análise profunda de parâmetros e configurações da aplicação web

Firewall de Aplicação

Dispositivo instalado nos webservers que identificam e bloqueiam as

requisições maliciosas feitas por hackers na aplicação web, evitando

que as tentativas de ataques tenham sucesso, como SQL Injection ou

Cross Site Scripting (XSS).

Super Site Blindado

Equipamento (scanner) instalado dentro da rede do cliente para analisar vulnerabilidades de servidores

de banco de dados e outros dispositivos de rede não acessíveis via internet. O equipamento é entregue

em comodato e pode testar aplicações web e servidores antes de colocá-los em produção.

SSL EV

Certificado digital SSL com validação estendida – Barra do Internet

Explorer fica verde quando a página em https:// é acessada

Web Penetration Test

Teste realizado por especialistas em segurança para detectar

vulnerabilidades, ou falhas que permitam realizar fraudes em

aplicações web, além de validar itens e parâmetros que scan-

ners automatizados não conseguem analisar.

Autenticação Forte como Serviço

A Verisign realiza a autenticação forte sem compartilhar informa-

ções confidenciais.

Não há preocupação com performance ou aumento da

demanda.

Simples integração com a rede VIP através de webservice

(XML/SOAP).

Compartilhamento de dispositivosUm mesmo Token Blindado é utilizado de forma compartilhada

entre todos os sites que exibem a bandeira VIP.

$$$Sem investimentos em Hardware, MIPS, administração,

pessoal, etc.

Melhor Custo Benefício entre todas as soluções do mercado.

Cobrança por usuário ativo ou por autenticação

SaaS: Serviço de autenticação com opção de dispositivos

gratuitos – Token no celular ou barra do Internet Explorer.

TOkEn BlindAdOAproveite os Benefícios de uma Rede de Autenticação Compartilhada para Fortalecer a diferenciação Competitiva

Os serviços de proteção de identidade VeriSign® Identity Protection

(VIP) Services ajudam os consumidores a fazerem o login em suas

contas de forma conveniente e segura para utilizarem os serviços

online da sua empresa. A autenticação de dois fatores, a detecção

de fraudes com base em auto-aprendizagem e uma poderosa infra-

estrutura de validação ajudam a fornecer uma solução de ponta a

ponta segura e a um custo razoável, da marca de segurança mais

reconhecida da Internet.

Empresas que são membros da rede VIP Network se beneficiam do

compartilhamento de uma infra-estrutura de validação única e externa

com inteligência global. Os consumidores que utilizam conveniente-

mente o Token Blindado único para fazer o login em diversos Web sites

têm a proteção adicional da autenticação de dois fatores.

A rede de inteligência contra fraudes VeriSign® Fraud Intelligence Ne-

twork oferece notificação antecipada de ataques e listas abrangentes de

suspeitos para bloquear fontes de fraude potenciais.

Dispositivos: além dos tradicionais tokens, o VIP possui 3 disposi-

tivos exclusivos: token no Celular, Displaycards e Barra do Internet

Explorer

(11) 3165-4000 | comercial@siteblindado.com.br | www.siteblindado.com.br

Maior site de currículos e empregos da América do Sul investe em segurança da informação.Propiciar segurança da informação tanto ao usuário do site como em

sua rede; esse foi o objetivo da Catho Online, maior classificado de

currículos e empregos da América do Sul, ao investir em soluções para

maior segurança.

A demanda surgiu da preocupação da empresa em prover maior segu-

rança da informação para os profissionais e empresas que utilizam os

serviços do site, pois além de seu carro-chefe, o classificado de currícu-

los e empregos, a Catho Online oferece uma série de ferramentas, tanto

para os candidatos quanto para os recrutadores, como Serviços de Apoio

à Carreira (Análise e Elaboração de Currículo, Treinamento de Entrevista,

Consultor Virtual, etc.), Cursos Online e Presenciais, Conferências, Tes-

tes Online, Pesquisa Salarial, Pesquisa Organizacional, entre outros.

Após o levantamento de todo o ambiente, foram realizados testes de

penetração na camada de rede e aplicações web e a equipe de consul-

toria especializada em segurança de internet e redes do Site Blindado

S/A, que identificou melhorias para possíveis vulnerabilidades e in-

dicou diversas soluções, com o objetivo de melhorar os processos já

implantados de proteção da rede interna e externa, bem como o tráfego

de informações entre a empresa e o usuário do site.

Para comprovar a segurança das informações do site ao usuário final,

a Catho Online adotou o Selo Site Blindado, que realiza análise de vul-

nerabilidades diárias, auditando os dados contidos no site. O selo é um

scan de vulnerabilidade para IPs públicos e aplicações web.

Para proteção à rede, o Site Blindado S/A implementou o sistema Super

Site Blindado, que simula os ataques de hackers como uma auditoria anti-

hacker, analisando a rede interna (IPs privados) a partir de um scanner

inserido dentro da rede da Catho online. Com o sistema, a Catho Online

tem acesso à informações privilegiadas que não se vê apenas pela web.

Ainda, foi implementado o Firewall de Aplicação Imperva, que posi-

cionado na frente de aplicação web, analisa todo o trafego de dados e

detecta tentativas de ataque, bloqueando imediatamente o script, imo-

bilizando o hacker que ficam sem nenhuma ação.

Entre os benefícios, a Catho Online conta atualmente com uma solução

confiável e uma entidade reconhecida que atesta e garante sua segu-

rança, que ainda alerta quando houver nova vulnerabilidade, e princi-

palmente up-to-date com a internet.

“Apesar da Catho Online sempre estar preocupada com as melhores

práticas de segurança e buscar cada vez mais garantir a integridade dos

dados de nossos clientes, precisávamos de uma entidade externa que

certificasse que as práticas até então adotadas eram efetivas e ainda poder

melhorá-las de forma que sempre estivéssemos alinhados e atualizados

com o que acontece na internet com relação a segurança da informação.

O trabalho executado pela Site Blindado foi perfeito, certificando nossos

processos, indicando possíveis melhorias e garantindo de forma idônea

que adotamos as melhores práticas de segurança para nossos clientes e

para o mercado”, diz Marcelo Ribeiro, Diretor de TI da Catho Online.

O selo Site Blindado pode ser visualizado em todas as páginas do site

da Catho Online, e assegura as informações nele contidas como os

dados de currículos, vagas ou dados de cartão de crédito.

Para conferir, acesse: www.catho.com.br

Marcelo Ribeiro

Cielo atende exigências do PCi-dSS e reduz fraudes online

A Cielo, rede de meios eletrônicos de pagamento que realiza transa-

ções com cartões de crédito e débito, toma uma série de ações para

melhorar sua comunicação e segurança interna e de seus estabele-

cimentos comerciais

Segurança para EstabelecimentosO objetivo foi disponibilizar sistema para realização de testes de vul-

nerabilidade nas redes de processamento de cartões; assim como

ao Questionário da Autoavaliação (SAQ), que tem a finalidade de

auditar a conformidade com o PCI-DSS.

O Módulo PCI do portal Site Blindado automatiza os processos que

antes eram realizados por planilhas, e ainda amplia a segurança,

visto que evita a tramitação dos dados pela Internet, concentrando

toda a comunicação no Portal.

Segundo Mário Delfino, Analista de Controle de Risco da Cielo, o

PCI-DSS é uma norma internacional determinada pelas bandeiras

de cartões de crédito, e a Cielo, como processadora destas bandei-

ras, cobra a conformidade dos estabelecimentos, visando a redução

das fraudes e clonagem de cartão de crédito.

Após a implementação do módulo PCI pelo Site Blindado S/A na Cielo,

a operadora ganhou agilidade e acrescentou o scan aos serviços. Até o

final de 2010, a expectativa é atender mais de 250 redes com os testes

de vulnerabilidade e a média de mil estabelecimentos menores.

Segurança para CieloEm paralelo à iniciativa de proteger os estabelecimentos comerciais,

foi criado um projeto para auditar a segurança da rede e aplicações

web da Cielo.

A Conviso IT Security foi contratada para executar uma seqüência de

testes de penetração em um grande conjunto de ativos que devem

estar aderentes aos requerimentos do PCI DSS.

A execução destes testes resulta na identificação das falhas e re-

comendações de melhoria que são implementadas antes que a ex-

ploração de uma dessas brechas de segurança cause perdas para a

empresa, resultando em uma melhoria geral para o processo de Risk

Management da Cielo.

Considerando que o surgimento de novas vulnerabilidades é muito

freqüente, foi preciso automatizar o ciclo de identificação e correção

de vulnerabilidades de servidores e desktops da Cielo. O Qualys-

Guard foi escolhido entre diversas opções de mercado e, além de

auditar dispositivos de rede com IPs públicos e privados, baseado

em regras definidas pela Cielo, direciona e prioriza as ações neces-

sárias para a solução das brechas de segurança encontradas. “Até

2008, recebíamos dezenas de arquivos PDF com o resultado das

análises. Era tanta informação que acabávamos deixando estes ar-

quivos guardados e nunca os analisávamos. O Qualysguard possui

inteligência para avaliar quais problemas são mais importantes e

quais servidores são mais críticos. Com essa combinação, criamos

regras de remediação e eliminamos totalmente o risco de sermos

atacados de forma simples e eficiente.” diz Ricardo Raga, Especia-

lista em Segurança da Informação da Cielo.

Performance na comunicaçãoA Cielo também precisava melhorar a segurança e a performance

das entregas dos extratos mensais aos seus milhares de Estabeleci-

mentos Comerciais afiliados.

Escolheu a Virid, pois além de ser a desenvolvedora da plataforma

VirtualTarget que é utilizada pelos maiores e-commerces do Brasil,

disponibiliza profissionais especializados que auxiliam na busca

contínua de melhoria dos resultados.

Entre outros resultados, a Cielo atingiu a agilidade esperada para o

envio das ações de email marketing e a conciliação dessa velocida-

de com a melhor entrega e segurança.

No mercado desde 1996, a Virid Interatividade Digital atua com foco

em email marketing desde 2004 - mercado em que possui maior

market share, depois da aquisição da Zartana - e trabalha ativamente

na disseminação das boas práticas na comunicação digital.

Com equipe formada por profissionais multidisciplinares que unem

a exatidão da tecnologia com a espontaneidade do marketing, a VI-

RID atende a uma carteira de mais de três mil clientes ativos, que

utilizam o canal email marketing como principal estratégia de comu-

nicação entre marcas e público.

1. Anti-PhishingWorking Group, December 20072. YouGov Research, March 2008

Os benefícios da tecnologia EV-SSL para o sucesso do seu site

Consumidores no mundo todo buscam a cada dia novas formas de

tornar suas rotinas de compras mais simples e práticas, e a inter-

net vem crescendo ano após ano como um meio preferido desse

público para a aquisição de novos bens e serviços. Porém alguns

cuidados são observados por quem compra na internet, e por outro

lado, fraudadores buscam a cada dia criar novos meios de obter

informações confidenciais e ludibriar o consumidor online. Dessas

fraudes, a mais hoje em dia no Brasil é o phishing, onde o frau-

dador por meio de engenharia social atrai clientes a um site falso

praticamente idêntico ao original, coleta informações confidenciais

do cliente.

A tecnologia SSL surgiu para passar ao consumidor a confiança

tanto em relação à autenticidade do site, quanto à privacidade das

informações trocadas entre o site e o consumidor, principalmente

quando essas informações envolvem dados financeiros, como nú-

mero de cartão de crédito e senhas. Essa tecnologia permite que as

informações trocadas sejam criptografadas, assim apenas o site

poderá decodificar esses dados.

Para garantir a autenticidade do site, o organismo de certificação

emissor, como a VeriSign por exemplo, deve averiguar informações

da empresa que adquire o certificado, tais quais origem e autentici-

dade da empresa, entre outras. Essa tecnologia vem evoluindo com

o tempo, conforme demonstrado abaixo:

1- SSL de criptografia simples ou 128 bits – Exibe o ícone do ca-

deado fechado ao lado da barra de endereços ou no canto inferior

direito dos navegadores, permitindo que o usuário visualize infor-

mações sobre o portador do certificado. Além disso, o site começará

com a sigla https:

Cuidados para com essa solução: hoje em dia existem diversas

empresas que oferecem a tecnologia, ou mesmo profissionais com

conhecimento avançado em tecnologia que desenvolvem seus pró-

prios certificados digitais. Devido essa pluralidade, é muito difícil

garantir quais fornecedores seguem rigorosamente às etapas de

verificação que são necessárias para se emitir um certificado digital,

tornando assim possível que alguns fraudadores consigam obter

certificados digitais duvidosos no mercado para utilizarem nos sites

de phishing e ludibriar o seu cliente.

2- Tecnologia EV-SSL – A arma mais eficiente contra a fraude de

phishing - Além de exigir uma verificação muito mais extensa em

relação à autenticidade da empresa que o adquire, faz com que o site

da empresa exiba uma barra de endereços verde, dando assim um

sinal muito mais claro de “siga em frente” para o consumidor.

Essa é a grande oportunidade de se diferenciar e mostrar ao seu

cliente que ele pode confiar no seu site ao exibir a barra verde. Para

isso, você pode contar com o certificado da marca Verisign, a marca

certificação digital líder e mais reconhecida no mundo.

Como a segurança online impacta a rentabilidade do comércio eletrônico

Não é de hoje que ouvimos dizer que a internet é um meio promissor para a

realização de negócios. Ano após ano, são divulgadas informações – sem-

pre animadoras – sobre o crescimento do comércio eletrônico. Em 2009

as vendas pela internet cresceram 30 % só no Brasil, totalizando R$ 10,6

bilhões. Foram mais de 4 milhões de pessoas que fizeram a primeira com-

pra pela internet.

Nos Estados Unidos - país mais maduro em negócios via internet - a cifra

é astronômica, o faturamento em 2009 foi de USD 155 bilhões. Nós só

estamos engatinhando por aqui.

Historicamente, nos Estados Unidos, as pessoas compram a distância; o

primeiro catálogo impresso foi lançado há mais de 250 anos. Quando sur-

giu a internet, as empresas apenas migraram seus catálogos de papel para

o eletrônico e a adaptação à Internet foi praticamente imediata.

No Brasil, a história é diferente:

Somos mais de 70 milhões de usuários de internet. Destes, 40 milhões

acessam suas contas bancárias pela rede mundial: digitam o código da

agência, número da conta e sua senha, para acessar dados confidenciais e

importantes para sua vida. Mas apenas 17 milhões de pessoas já realizaram

ao menos 1 compra pela internet.

A pergunta que eu faço é: O que motiva mais de 23 milhões de pes-soas terem coragem de checar seus extratos e pagar contas via internet, e não realizarem compras?

Diariamente nós vemos na TV, no jornal e ouvimos de amigos que al-

gum cartão de crédito foi clonado, que alguma conta corrente foi inva-

dida por hackers e o dinheiro foi todo roubado ou que alguma quadrilha

realizou fraudes milionárias, tudo pela internet. Afinal, 83% dos sites

possuem algum problema de segurança que possa comprometer os da-

dos armazenados.

Para completar, a ansiedade de usar o produto imediatamente, a preocu-

pação de não receber o produto comprado, a insatisfação de pagar pelo

frete, a incerteza de ter comprado o produto correto e a insegurança de que

hackers roubem suas informações pessoais e dados de cartão de crédito,

são decisivos para consumidores mais cautelosos não realizar compras

pela internet.

Por outro lado, a internet é um ambiente muito favorável às compras, pois

você pode fazê-la sem vendedores ficarem empurrando produtos, sem pe-

gar transito ou pagar estacionamento, e a qualquer hora e em qualquer dia

da semana, afinal a internet nunca fecha. Mas o processo de decisão de

realizar a primeira compra via internet não é tão simples assim.

Desta forma, o usuário inicia o uso da internet comparando preços, bus-

cando informações sobre produtos, mas não compra pela internet. Acaba

realizando a compra em lojas físicas, na rua ou no shopping, muitas vezes

com a informação obtida na internet impressa em papel para garantir que

está comprando o mesmo produto, pelo mesmo preço.

Com o tempo, estes consumidores mais cautelosos, acabam recebendo

referências de experiências positivas de amigos e colegas de trabalho que

usam a internet para realizar compras.

E é aí que os lojistas virtuais precisam estar atentos: Mesmo que aquele

consumidor esteja inclinado a fazer sua primeira compra online, qualquer

item que o faça sentir inseguro é motivo para que ele cometa o drop down,

ato de abandonar o carrinho de compras com produtos, antes de realizar o

pagamento. Ou seja, venda perdida.

o ConSuMiDor preCiSA De uMA JuStifiCAtiVA pArA reALizAr

A priMeirA CoMprA nA internet.

É por isso que os comparadores de preços informam, além do preço – é

claro – dados sobre a loja virtual, como: opiniões de outros consumidores,

rating ou classificação do seu atendimento, e certificações sobre a existên-

cia de uma empresa idônea por trás de uma loja virtual.

Mas isso não é suficiente. 35% dos abandonos de carrinho de compras

são ocasionados pelo receio de digitar os dados de cartão de crédito, pois

hackers poderão cloná-lo e causar prejuízos ao consumidor.

oS CoMpArADoreS De preçoS, nA SuA MAioriA, não MoS-

trAM quAiS SiteS São bLinDADoS ContrA HACKerS pArA

AJuDAr oS ConSuMiDoreS A eSCoLHer onDe CoMprAr.

Por isso as lojas precisam promover sua segurança, exibindo selos de pro-

teção contra hackers, demonstrar de forma clara sua política de trocas e

devoluções e principalmente como o consumidor poderá contatar a loja em

caso de problemas. Afinal, a loja é virtual, mas a compra é real.

Conforme pesquisas, 70% dos internautas compram somente se a loja

apresentar selos de segurança. Isso significa que a taxa de conversão

(percentual entre a quantidade de visitantes e a quantidade de pedidos do

website) pode ser positivamente afetada se o consumidor se sentir seguro

durante a navegação.

Segurança e credibilidade são pontos primordiais para que um site de

e-commerce tenha sucesso.

Boas vendas!

Por: Mauricio Kigiela