O que são ataques de segurança?

Mariko Kosaka
X

Um aplicativo não seguro pode expor usuários e sistemas a vários tipos de danos. Quando uma parte maliciosa usa vulnerabilidades ou a falta de recursos de segurança a seu favor para causar danos, isso é chamado de ataque. Neste guia, vamos analisar diferentes tipos de ataques para que você saiba o que procurar ao proteger seu aplicativo.

Ataques ativos x ataques passivos

Os ataques podem ser divididos em dois tipos: ativos e passivos.

Ataques ativos

Em um ataque ativo,o invasor tenta invadir o aplicativo diretamente. Isso pode ser feito de várias maneiras, desde o uso de uma identidade falsa para acessar dados sensíveis (ataque de mascaramento) até o envio de grandes quantidades de tráfego para que o aplicativo não responda (ataque de negação de serviço).

Ataques ativos também podem ser feitos em dados em trânsito. Um invasor pode modificar os dados do aplicativo antes que eles cheguem ao navegador de um usuário, mostrando informações modificadas no site ou direcionando o usuário a um destino não intencional. Às vezes, isso é chamado de modificação de mensagens.

modificação da mensagem
Um site sendo adulterado por um invasor para direcionar o usuário a um site de phishing.

Ataque passivo

Em um ataque passivo, o invasor tenta coletar ou aprender informações do aplicativo, mas não afeta o aplicativo em si.

ataque passivo
Um invasor intercepta a comunicação entre um usuário e um servidor.

Imagine que alguém está ouvindo sua conversa com amigos e familiares, coletando informações sobre sua vida pessoal, quem são seus amigos e onde você costuma ficar. O mesmo pode ser feito no seu tráfego da Web. Um invasor poderia capturar dados entre o navegador e o servidor, coletando nomes de usuário e senhas, histórico de navegação dos usuários e dados trocados.

Defesa contra ataques

Os invasores podem prejudicar diretamente seu aplicativo ou realizar uma operação maliciosa no site sem que você ou seus usuários percebam. Você precisa de mecanismos para detectar e se proteger contra ataques.

Infelizmente, não há uma solução única para tornar seu aplicativo 100% seguro. Na prática, muitos recursos e técnicas de segurança são usados em camadas para impedir ou atrasar ainda mais o ataque (isso é chamado de defesa em profundidade). Se o aplicativo tiver um formulário, você poderá verificar as entradas no navegador, no servidor e, por fim, no banco de dados. Você também usaria o HTTPS para proteger os dados em trânsito.

Conclusão

Como muitos ataques podem acontecer sem atingir seu servidor, às vezes é difícil detectar se eles estão acontecendo ou não. A boa notícia é que os navegadores da Web já têm recursos de segurança poderosos integrados. Siga o próximo tópico "Como o navegador mitiga ataques" para saber mais.