O que são ataques de segurança?

Mariko Kosaka
X

Um aplicativo não seguro pode expor usuários e sistemas a vários tipos de danos. Quando uma parte mal-intencionada usa vulnerabilidades ou a falta de recursos de segurança a seu favor para causar danos, isso é chamado de ataque. Analisaremos diferentes tipos de ataques neste guia para que você saiba o que procurar ao proteger seu aplicativo.

Ataques ativos x passivos

Os ataques podem ser divididos em dois tipos diferentes: ativos e passivos.

Ataques ativos

Com um ataque ativo,o invasor tenta invadir diretamente o aplicativo. Há várias maneiras de fazer isso, desde usar uma identidade falsa para acessar dados sensíveis (ataque mascarado) até inundar seu servidor com grandes quantidades de tráfego e fazer com que o aplicativo não responda (ataque de negação de serviço).

Ataques ativos também podem ser realizados nos dados em trânsito. Um invasor pode modificar os dados do app antes que eles cheguem ao navegador do usuário, mostrando informações modificadas no site ou direcionando o usuário a um destino não intencional. Às vezes, isso é chamado de modificação de mensagens.

modificação de mensagem
Um site da Web sendo adulterado por um invasor para direcionar o usuário a um site de phishing.

Ataque passivo

Com um ataque passivo, o invasor tenta coletar ou descobrir informações do aplicativo, mas não afeta o aplicativo em si.

ataque passivo
Atacante espionando a comunicação entre um usuário e um servidor.

Imagine que alguém esteja espiando sua conversa com amigos e familiares, coletando informações sobre sua vida pessoal, quem são seus amigos e onde você costuma sair. O mesmo pode ser feito no tráfego da Web. Um invasor pode capturar dados entre o navegador e o servidor, coletando nomes de usuário e senhas, histórico de navegação dos usuários e dados trocados.

Defesa contra ataques

Os invasores podem prejudicar diretamente seu aplicativo ou realizar uma operação maliciosa no site sem que você ou os usuários percebam. Você precisa de mecanismos para detectar e se proteger contra ataques.

Infelizmente, não há uma solução única para tornar seu aplicativo 100% seguro. Na prática, muitos recursos e técnicas de segurança são usados em camadas para evitar ou atrasar ainda mais o ataque. Isso é chamado de defesa em profundidade. Se o aplicativo tiver um formulário, verifique as entradas no navegador, depois no servidor e, por fim, no banco de dados. Também use HTTPS para proteger os dados em trânsito.

Conclusão

Como muitos ataques podem acontecer sem atingir seu servidor, às vezes é difícil detectar se eles estão acontecendo ou não. A boa notícia é que os navegadores da Web têm recursos de segurança poderosos já incorporados. Leia o próximo tópico "Como o navegador reduz contra ataques" para saber mais.