Por Paulo Brito

Se há uma coisa simples, fácil e barata de conseguir na internet é um site com domínio próprio. O domínio custa uns R$ 30 anuais no Registro.br e a hospedagem do site pouco mais do que isso de mensalidade nos provedores brasileiros.

Essa hospegagem pode até ser gratuita, embora nesse caso seja geralmente impossível utilizar domínio próprio. Pessoas, empresas, organizações de todo tipo abrem sites aos milhares por dia e neles publicam de tudo – textos, fotos, vídeos, podcasts, apresentações e outras coisas que nem é bom mencionar.

A esmagadora maioria não tem backup do site. Quer dizer: se o servidor pifar, se o provedor desaparecer ou se um hacker atacar, acabou-se! O conteúdo simplesmente some. Morre.

Se o conteúdo não tem grande importância, a perda pode não ser grande, é claro. Perde-se, principalmente, trabalho.

Mas vamos pensar, por exemplo, numa escola. O site pode ser um ponto de referência e de armazenamento de conteúdo importante: trabalhos de alunos, aulas de todos os professores e, quem sabe, notas. Isso não é coisa que se possa perder. Um site desses precisa mesmo estar protegido.

Eu tenho um, o Cibersecurity (www.cibersecurity.com.br), onde publico noticiário sobre segurança da informação. Acho que ele só tem valor como referência para o pessoal da área, mas apesar dessa póuca importância já foi atacado três vezes com DDoS (Distributed Denial of Service) – uma espécie de tsunami de solicitações de páginas, que literalmente sufoca o site.

Sejam quais forem os tipos de ataques, eles têm basicamente duas motivações: egolatria e lucro rápido.

No caso da egolatria, é preciso entender que boa parte dos hackers são exatamente como os pixadores: eles querem deixar sua marca no local e mostrá-la para o mundo em geral e especialmente para sua comunidade. Para os pixadores, quanto mais alto o prédio, melhor.

Para os hackers, quanto mais importante o site, melhor. Uma das vítimas habituais é a NASA, que tem milhares de servidores para suas mais variadas linhas de pesquisa. Conheço hackers que deixaram sua marca lá e apesar disso o servidor continua desprotegido. Em casos como esse, a vulnerabilidade é tão grande e a invasão tão fácil, que o alvo deixa de ser interessante e valioso.

Mas no caso do lucro rápido o jogo é pesado. O objetivo do hacker ou de um grupo deles é tomar o controle do servidor e devolvê-lo somente em troca de um bom dinheiro. Essa é a estratégia do ransomware, o malware atualmente mais temido: ele entra no seu computador, criptografa todos os seus documentos e só envia a chave de  criptografia (para reverter o processo) se você pagar.

Tem uma história bem pouco conhecida sobre isso, que pode ser comparada ao assassinato de um refém pelos seus sequestradores, por não terem recebido o dinheiro do resgate. É a história da Code Spaces.

A Code Spaces era um repositório de programas, para uso de programadores. Do mesmo jeito que eu e você podemos trabalhar no mesmo texto ou numa ilustração armazenada no Google, eles também armazenam programas em repositórios, onde vários colegas podem colaborar.

A empresa foi fundada em 2007 e hospedava seus recursos na Amazon Web Services, uma das hospedagens mais seguras do mundo.

No dia 17 de Junho de 2014, a Code Spaces foi bombardeada com DDoS. Isso já havia acontecido outras vezes, mas dessa foi diferente: alguém deixou um recado para a empresa, que podia ser visto quando alguém acessava o painel de controle da empresa na Amazon. No recado, havia o pedido de uma soma em dinheiro para que o ataque fosse interrompido e um endereço do Hotmail para a resposta.

A equipe da Code Spaces tentou retomar o controle mudando senhas, mas quem fez o ataque conhecia muito bem o sistema e havia criado muitos outros logins e senhas, que podiam continuar acessando a Amazon e a Code Spaces, com privilégios de administrador.

A diretoria da empresa não cedeu à chantagem e então o assassinato começou: nas doze horas seguintes, todos – absolutamente todos – os recursos, incluindo todos os backups, foram apagados. Em doze horas, a empresa de-sa-pa-re-ceu.

No mundo real, se um terremoto destruir a sua casa, ela vira pó. Na web, não sobra nem isso…

Como podemos, então, proteger o site de uma escola, se os perigos são dessa magnitude e se o desastre pode acontecer até dentro da Amazon?

A primeira resposta é a seguinte: não existe site 100% seguro. Você pode até hospedá-lo num provedor rico e famoso como esse, mas é a mesma coisa que comprar um lote num condomínio fechado: sua casa está segura até que o ladrão engane os porteiros ou pule o muro.

Os provedores têm recursos de segurança e os alugam para os clientes, e parece que nesse caso a Code Spaces não tinha nenhum.

Para os ataques de DDoS existem serviços de proteção pagos e gratuitos. O CloudFlare, por exemplo, é o que eu uso e tem essas duas modalidades. Além dele, tenho a proteção do Google Shield, serviço do Google para publicações ameaçadas por esse tipo de ataque – mas o projeto não abrigaria uma escola.

É recomendável também que seja usada uma plataforma de publicação comprovadamente resistente e segura, e nesse caso estou falando dos sistemas de gerenciamento de conteúdo mais utilizados no Ocidente, que são WordPress e Joomla. Mas a segurança exige que seja utilizada sempre a versão mais nova e que ela seja constantemente atualizada.

E finalmente, o backup, o conjunto de cópias de segurança do site. É preciso ter, e ele precisa ser atualizado diariamente. O Code Spaces tinha backup. Quer saber por que não foi usado? Porque estava armazenado na mesma área que o site e portanto também foi destruído.

Ou seja: não se pode guardar a cópia no mesmo lugar que o original. Isso é uma regra básica dos backups estabelecida nos anos 1960 e reconhecidamente um pênalti em segurança da informação.

Conclusão: é possível obter uma certa proteção para o site e para os dados, mas nunca haverá 100% de segurança para tudo.

A melhor solução possível é uma combinação de serviços e plataformas confiáveis, atualização constante e cópia todos os dias. Apesar disso, existe risco. Para sempre.

*Paulo Brito é jornalista de tecnologia e sócio proprietário da Cibersecurity, empresa especializada em segurança de aplicações na Internet

Leia também
Especialista alerta: o risco de parada da internet está se tornando maior