5 mitos sobre a segurança do seu website.

O site White Hat Security tem divulgado dados preocupantes que demonstram aumentos nos ataques a sites de pequenas e médias empresas em relação ao número de ataques aos das grandes.
Um dos motivos para esta mudança de foco, por parte dos invasores, é que as grandes empresas, agora, têm programas profissionais de segurança na Web — o que já torna mais difícil o cracking de seus sites.

Mudaram as vítimas, mas as técnicas de invasão continuam, basicamente, as mesmas.

O propósito deste artigo é questionar e, quem sabe, ajudar a desconstruir 5 dos maiores mitos sobre a segurança na web.

O SSL deixa o meu site mais seguro?

ssl lock
O TSL, sigla para Transport Layer Securty e o seu predecessor, SSL (Secure Sockets Layer), ambos são comumente referenciados pela mesma sigla: SSL.
Trata-se de protocolos criptográficos que oferecem um ambiente de comunicações seguro sobre uma rede de computadores.
O principal objetivo do protocolo é garantir privacidade e integridade à transferência de dados entre o servidor da empresa e o navegador do cliente.
Em outras palavras, sua função é dar ao seu cliente a certeza de que o site que ele está vendo é um site genuíno — e não uma impostura, com o objetivo de fornecer falsas informações ou de obter dados de forma fraudulenta de seus visitantes.
O SSL também assegura que o conteúdo da conversação entre o cliente e o site não possa ser lido, caso seja interceptada.
Se um website for crackeado e passar a ter um comportamento nocivo em relação aos visitantes, tudo o que SSL fará é lhes assegurar que o site é legítimo, genuíno — cumprindo a sua função.

Desta forma, o SSL não tem absolutamente qualquer impacto na segurança do website ou na forma como os seus dados e os de seus usuários são manipulados e guardados.

Por ser um protocolo de transporte de dados, o SSL procura garantir a segurança das informações, enquanto trafegam entre um ponto e outro, na rede.
Os dados armazenados no cliente ou no servidor, não são protegidos por este protocolo — nem ele foi concebido para protegê-los.
Leia mais sobre o SSL: É hora de encriptar toda a Internet? Isto é possível?

Firewalls protegem de ataques externos?

firewall parede corta-fogo
O firewall é um programa ou um equipamento que controla o fluxo de dados em uma rede, baseado em um conjunto de regras.
Sua função é estabelecer uma barreira entre uma rede segura e confiável e outra não considerada tão segura ou tão confiável (a Internet, por exemplo).
A principal função de um firewall é criar restrições ou filtros de acesso entre redes e evitar propagação de acessos ou comportamentos nocivos.
Os firewalls, ou “paredes corta-fogo”, não tem a função de proteger o site em si, seus dados ou a forma como são manipulados.
Portanto, todos os problemas e falhas de segurança de seus aplicativos Web (comércio eletrônico, fóruns, email etc) continuam intocados pela presença de um firewall.

Enquanto o SSL foi concebido para dar segurança ao transporte dos dados, os firewalls foram criados para dar segurança à sua passagem entre redes. Em todos os outros momentos, as vulnerabilidades permanecem inalteradas.

A ideia do firewall é a de separar o tráfego nocivo do “benigno” — o que é feito através de Listas de Controle de Acesso, ou ACL (Access Control List).
O ACL determina o que pode trafegar entre as redes e o que deve ser bloqueado.
Uma vez dentro da sua rede, através de algum dos serviços permitidos pelo(s) firewall(s), um visitante malicioso estaria livre para agir.
Isto quer dizer que o mundo inteiro entra no seu site, usa seus serviços de email, contatos, chat, navega por onde quiser etc — e é aí que mora o perigo.

Scanners de vulnerabilidade de rede são capazes de protegê-la?

satan
Um scanner de vulnerabilidades, é um programa projetado para acessar computadores, sistemas computacionais, redes ou aplicações em busca de pontos falhos na segurança.
Há vários tipos de vulnerability scanners. O que os distingue, entre eles, é o foco dado a problemas específicos.
O ponto em comum é o objetivo de listar as vulnerabilidades encontradas em um ou mais alvos.
No início dos anos 90, o programa SATAN (descontinuado), escrito em Perl, era muito popular entre administradores de sistemas e profissionais de segurança de rede, como software de teste de vulnerabilidades, entre outros.
A lógica é que, após encontrar e resolver todos os problemas de vulnerabilidade o website estará suficientemente seguro na Internet.
Contudo, os scanners de vulnerabilidades não abrangem os aplicativos Web, rodando nos servidores, que podem conter inúmeras falhas de segurança.
Este tipo de software pode ser usado para conduzir testes de reconhecimento da rede — um comportamento típico de um acesso remoto malicioso, com o objetivo de coletar informações ou obter acessos privilegiados e não autorizados à rede.

Os scanners trabalham com seus próprios bancos de dados ou listas, contendo os tipos e os detalhes das vulnerabilidades que devem ser encontradas.
Estas listas são baseadas em falhas já conhecidas.

As fragilidades e pontos de suscetibilidade dos seus aplicativos Web não são conhecidos pelos scanners e, por isto, não serão detectados.
Mesmo tendo um website profundamente comprometido, inseguro e com seus bancos de dados totalmente desprotegidos, você vai receber um sinal verde, informando que tudo está bem.

Os desenvolvedores são sempre culpados pelas falhas?

desenvolvedor digitando
Infelizmente, não é tão fácil encontrar culpados.
Há muitos fatores, fora do controle dos desenvolvedores, que promovem as fragilidades dos sites.
Parte do código (fechado ou não), escrito por terceiros e inserido nos aplicativos web da sua empresa, pode conter vulnerabilidades.

Com prazos curtos para finalizar projetos, os desenvolvedores raramente têm tempo para checar os meandros das linhas de código que chegam através de atualizações e patches.
Código proprietário e fechado, definitivamente, não pode sequer ser auditado.

Além disto, as falhas de segurança podem surgir da simples combinação entre componentes do sistema — e estamos provavelmente falando de milhares de componentes e quantidades exponenciais de possibilidades de combinação.
É humanamente impossível prever ou prevenir todas as falhas, portanto.

Avaliações anuais das vulnerabilidades são suficientes?

O código dos aplicativos Web estão em constante mudança. Muita coisa sofre alterações no período de um ano.
Cada nova versão do aplicativo ou atualização (mesmo que de segurança), traz novos riscos e potenciais pontos fracos a serem explorados por crackers.
Finalizar projetos estratégicos para os negócios é sempre prioritário e (como já foi dito) os desenvolvedores nunca têm tempo para testar todas as possibilidades de quebra da segurança dos aplicativos.
O ideal é ter práticas sempre em curso para resolver problemas de segurança, à medida em que forem detectados.

Conclusão

Se já sabemos que algumas ações não são eficazes para tornar um website mais seguro.
Há várias outras medidas, contudo, que podem ajudar neste sentido e devem ser consideradas com seriedade:

  1. A segurança do website deve ser reavaliada com maior periodicidade e, principalmente, a cada atualização de cada novo componente — cada nova linha de código é, potencialmente, um novo problema de segurança.
  2. Os scanners de vulnerabilidade podem ser usados em conjunto com um processo manual de testes, personalizado e adaptado aos aplicativos que você tem rodando no site.
  3. Aos desenvolvedores cabe nunca confiar nos dados fornecidos por usuários. Sempre preveja a introdução de códigos maliciosos nos formulários — esta é a principal porta de entrada dos crackers.

Assinar blog por e-mail

Digite seu endereço de e-mail para assinar este blog e receber notificações de novas publicações por e-mail.

Referências

https://www.whitehatsec.com/assets/WP5myths041807.pdf.

7 lojas alternativas de onde você pode baixar milhares de apps para seu dispositivo Android

A Google Play Store é muito boa e recheada de opções de softwares incríveis.
Infelizmente, nem todos os desenvolvedores têm produtos que se encaixam dentro das regras do Google para expor na vitrine oficial da empresa.
Além disto, tanto a lojinha do Google quanto a da Apple (neste caso, ainda tem) já tiveram restrições à softwares livres, sob a licença GPL.
repositório loja android jogos apkpure
Por outro lado, algumas das lojas ou repositórios de softwares de que vamos falar neste artigo, têm restrições talvez até mais rígidas que as da Apple ou do Google para permitir a distribuição de apps. Por exemplo, não aceitar softwares com DRM — que traz sérios riscos de segurança aos clientes.

O problema das grandes lojas não é com o software livre per se. Mas com o fato de que a licença GPL não lhes permite adicionar mais restrições aos usuários.

Não se esqueça que é necessário liberar a instalação de APKs externos no seu smartphone antes de poder instalar qualquer coisa.

É seguro baixar apps de repositórios ou lojas alternativas?

A segurança é sempre relativa e eu não afirmo que é seguro baixar software de lugar algum.
Quando uma grande distribuidora de apps admite a presença de DRM ou, mesmo, softwares proprietários (não-livres) em seus repositórios, fica difícil alegar segurança.
A única maneira de saber se um software é seguro ou não para você, é analisar ou auditar seu código fonte — o que só pode ser feito em apps com licenças de código aberto ou livre.
Softwares proprietários não podem ser auditados.
Se você não vai perscrutar o código de um programa que adquiriu, então terá que confiar cegamente nas pessoas/empresas que o forneceram.

Em resumo, o problema da segurança (ou da falta dela) não está na loja ou no repositório de softwares — mas na possibilidade que você tem ou não de fazer auditorias nos apps que adquire.

Para usuários comuns esta questão pode ser trivial.
Empresários ou gestores de TI, contudo, só deveriam permitir a aquisição de softwares 100% auditáveis, contudo.
Poderíamos nos estender mais sobre o assunto, mas precisamos falar das outras lojinhas…
captura de tela loja repositorio

As grandes lojas de apps do mercado

Entre as grandes lojas do mercado, dá para citar algumas que você certamente, já conhece.
Ao comprar um smartphone ou tablet novo, você provavelmente se deparou com o ícone da lojinha oficial do seu fabricante e, diferente, do Play Store ou da App Store, comumente só são acessíveis através do próprio dispositivo com o app exclusivo. Ou seja, não dá para chegar lá pela web.

  • Samsung Galaxy Apps — loja voltada para todo o universo de aparelhos vendidos pela Samsung, o que inclui smartphones, smartTVs etc.
  • Lenovo/Motorola — na linha de celulares Moto G, o App Box substitui o repositório de apps nacionais (brasileiros), o BR Apps. Nele é possível encontrar muita coisa voltada para a realidade brasileira, especificamente.
  • Amazon — possui sua loja, que vai além de apenas livros digitais, filmes e músicas.

Como você já deve imaginar, LG, Philco e quase todas as outras marcas também têm seus repositórios de softwares para atender a seus clientes.
Além disto as lojas não atendem apenas a quem tem aparelhos com o sistema operacional Android — se estendem a usuários do Windows, WebOS, Bada etc.
O foco deste artigo, contudo, são lojas ou repositórios de apps Android.
Vamos conhecer algumas…

Repositório de apps F-Droid

O foco específico do F-Droid é fornecer softwares de código aberto ou livre, para a plataforma Android.
Os aplicativos são exibidos de maneira bem organizada e é possível fazer buscas dentro do repositório por softwares do seu interesse.
É possível encontrar uma enorme coletânea de apps que obedecem a exigências de não rastrear seus usuários, não exibir propagandas e não requerer dependências.
f-droid logo
A gente conta mais sobre ele e ensina como instalar neste artigo, aqui.
Com certeza vale instalar e conhecer melhor.

AppsLib

A biblioteca de aplicativos AppsLib, conta com aproximadamente 40 mil títulos. Muitos destes mantém seu foco nos clientes que possuem tablets Android.
appslib
Boa parte dos softwares desta loja online não se encaixa nos termos do Google Play Store.
Conheça a loja neste link: http://appslib.com/download,

APKPure

O APK Pure tem uma enorme coletânea de apps para Android — a grande quantidade de jogos é um dos destaques.
apkpure captura de tela web
Segue o link para o site APKPure: https://apkpure.com/apkpure-app.html

MoboGenie

Esta alternativa é interessante, entre outras coisas, por que oferece uma grande coleção de apps curados — de certa, forma selecionados para cada usuário.
O Mobogenie tem um mecanismo inteligente de recomendação de apps, que analisa suas preferências e é capaz (alegadamente) de fazer sugestões pertinentes.
captura de tela web mobogenie
Além de loja de apps, o Mobogenie oferece outros serviços:

  • Sistema de gestão de seus arquivos locais.
  • Permite baixar conteúdo, como papéis de parede, ringtones, livros e vídeos do youtube.

Você vai encontrar muitos apps que também estão presentes na Play Store — é interesse dos desenvolvedores divulgar e colocar seu trabalho a mostra em todos os lugares possíveis.
Uma surpresa agradável é ver que a interface foi traduzida para o português, o que pode ajudar você a selecionar melhor o que quer instalar.
Site do Mobogenie em português: http://www.mobogenie.com/pt/.

Conheça o Itch.io

Como mercado de games, que usa a plataforma web, oferece um espaço muito apreciado por desenvolvedores de jogos independentes (ou indie game developers).
captura de tela itch.io
Há uma área do site destinada exclusivamente a clientes Android, que facilita a aquisição de aplicativos para esta plataforma.
Use os filtros e a caixa de busca para encontrar mais rápido os tipos de games que você deseja obter.
Segue o site, para você conhecer: https://itch.io/.

O Slide Me tem tradição online

Trata-se de um dos mais antigos serviços de distribuição e venda de apps online — é anterior à Play Store, inclusive.
screenshot slide me
Tem maior flexibilidade de pagamentos e um grande acervo.
Visite o site: http://slideme.org.

GetJAR

Disponibiliza uma vasta gama de apps para downloads (pagos e gratuitos).
Fácil de fazer buscar ou de filtrar resultados. Infelizmente ou felizmente, muito do que se encontra aqui, também se encontra na Play Store.
getjar screenshot web
Se você tem algum celular mais antigo (com sistema operacional Symbian, por exemplo), este é o lugar para encontrar apps feitos em Java, para rodar no seu aparelho.
Conheça o site: https://www.getjar.com/mobile-apps/.

Mobile9

Junto com o Slide Me e o GetJar, o Mobile9 está há um bom tempo no mercado, oferecendo opções de papéis de parede, ringtones, apps para as mais diversas plataformas etc.
screenshot mobile9 site web
Atualmente, foi construída uma rede social em torno do site, de forma que se cadastrar nele e baixar o app da lojinha pode trazer uma boa fonte de entretenimento.
Não perca este site: www.mobile9.com.

Mobango, a força da Índia

Os apps não são necessariamente da Índia, apesar da reconhecida qualidade dos programadores daquele país.
mobango screenshot site web
Ele se destaca pelo grande acervo de jogos, separados por categoria (collections) e vídeos gratuitos para download.
O site é este: www.mobango.com.

Opera Mobile Store não é só para quem tem navegador Opera

A loja do Opera atende a, pelo menos, 7 plataformas — o que inclui o Android, com certeza.
screenshot opera10
Quem usa o navegador Opera dispõe das vitrines da loja de dentro do próprio aplicativo, claro.
Quem usa outros navegadores, pode acessar a loja pelo site: http://android.oms.apps.opera.com/en_br/

Referências

https://forums.developer.apple.com/thread/18922.
https://theappsolutions.com/blog/marketing/alternative-android-app-stores/.
https://www.androidpit.com/best-google-play-store-alternative-app-stores.

Substitua apps nativos Android pelas versões web, para poupar espaço e preservar sua privacidade.

Mesmo não tendo problemas com espaço no aparelho, eu uso muito a versão web de alguns aplicativos, em detrimento dos apps nativos Android.
Aplicativos como o do Facebook ou Facebook Messenger podem ser removidos e, em substituição, podemos acessá-los da mesma forma como o fazemos no notebook ou PC — via web.
Alguns recursos vão ficar de fora, com toda certeza, ao fazer esta substituição — o que vai ficar mais evidente no caso do Messenger.
Perde-se de um lado, ganha-se de outro.
Como uso mais o Whatsapp, o Telegram e o Appear.in para conversar e fazer videoconferência, não faz sentido para mim ter outros aplicativos com estas funções.
O Appear.in também não precisa ser instalado e pode ser usado via web tranquilamente.
Cabe a você decidir quando a troca vale a pena — mas é necessário experimentar, antes de decidir, concorda?
O “truque” pode ser feito com o Google Chrome, com o Mozilla Firefox ou qualquer outro navegador que você tenha instalado no seu dispositivo móvel.

O Facebook, como aplicativo web

Facebook logo
O Facebook é um excelente exemplo de aplicativo web que funciona muito bem, em substituição ao app nativo Android.
O assunto foi abordado de maneira mais completa no texto Facebook para quem tem pouco espaço no celular.
Se você usa o Android 5.0 ou superior, somado ao Google Chrome, pode continuar a receber todas as notificações do Facebook, mesmo que não esteja com o site aberto.
Os desenvolvedores do Facebook, são um pouco chatos e ficam incomodando o tempo todo para você instalar o app nativo do Android.
É que, sem o app, muitos das informações sobre você ficam invisíveis para a empresa. Isto atrapalha um pouco os negócios dela.
Outro inconveniente, é o fato de que o Messenger não roda na interface web móvel.
Os programadores do Facebook inseriram uma “trava”, que impede o uso do app desta forma.
Uma maneira de contornar este problema é clicar no botão de menu do navegador, no smartphone, e selecionar a opção “usar a interface Desktop”.
Assim, as mensagens poderão ser vistas em um interface bem tosca, mas que quebra o galho em emergências.

O Twitter como aplicativo web em dispositivos móveis

Twitter logo
Na minha experiência, o aplicativo web é muito ruim, tanto no Chrome quanto no Firefox (experimentei com o Aurora) para celular.
Toda vez que é executado, fica aparecendo aquela mensagem chata pedindo para você instalar o app do Twitter… não querem saber se você não quer.
Serve para quebrar um galho (e ainda quebra mal) e não oferece qualquer opção de notificação — e é “castrado” nas suas funções, quando comparado à versão web executada no desktop.
No geral, é inútil.

Google Plus

Google Plus logo
O Google tem um aplicativo próprio para acessar o Google Plus.
A versão mobile web, executada a partir do seu navegador no celular, procura trazer todas as funções do app nativo.
Se a pergunta for “dá pra abrir mão do app e usar apenas a versão web?”, a resposta é “sim”.
Neste caso, pesa o fato de que muitos smartphones já vem com o aplicativo do Google Plus instalado (e sem a possibilidade de remover) — o que nos tira a opção de desinstalar um para usar o outro, infelizmente.
Portanto, se ele já está aí, ocupando espaço… por que não usar?
Claro que o espaço que ele ocupa originalmente, é bem menor que o espaço usado após as atualizações.
Portanto, pode valer a pena seguir acessando esta rede social apenas pela interface web.

Videoconferência

Appear.in logo 2016
O appear.in é um aplicativo de videoconferência que surgiu da web.
Suas primeiras versões eram exclusivamente web e ele sempre funcionou bem nos smartphones Android, executado a partir de um browser.
Atualmente, já é possível baixar o app nativo da loja Google Play.
Leia mais sobre ele e como instalar, aqui.

Aplicativos de email

Google inbox mail client logo
Da minha parte, uso o Gmail, o Yahoo e um outro baseado no Red Cube.
O aplicativo de email, que já vem nos smartphones Android, pode ser usado para acessar todas as suas contas.
Da mesma forma o Gmail e o Inbox, apps do Google, também permitem concentrar todas as suas contas em um só local.
Neste caso, o uso de um aplicativo central é a melhor opção, na minha humilde opinião.
Escolha um e desative os outros, para economizar espaço.

Qual versão do Firefox usar? Nightly vs Aurora vs Stable.

O ciclo de desenvolvimento e lançamento de novas versões do Firefox, segue alguns padrões comuns a maioria dos aplicativos que você já conhece.
Há versões estáveis, voltadas para o público geral, com seus recursos e funções já consolidadas.
Este texto pode estar um pouco desatualizado. Por isto, sugiro a leitura deste artigo — onde falamos também do Firefox ESR.

A versão estável do Firefox

Firefox-sandstone-orange-facebook-403x403-in-stream
Se não sabe qual escolher, escolha sempre esta.
Se você só usa o navegador para trabalho e precisa que ele funcione sempre esta é a versão para você.
A versão Stable ou Estável, é sempre lançada após um ciclo de testes — comumente 6 semanas após a liberação do Beta.
Os recursos que não funcionaram adequadamente e que tenham algum potencial de causar incômodos aos seus usuários não estarão presentes e é, portanto, a versão que vai dar mais conforto, estabilidade e segurança ao usuário.
Você pode fazer o download para a sua plataforma (Linux, Windows, Android ou iOS), no site de download do Firefox.
Se preferir, pode baixar a versão para Android, no Google Play.
Há também um site direto para usuários Apple do iPhone ou iPad, que fica aqui.

O Firefox está disponível para um amplo número de plataformas: como o iPhone, iPad e iPod touch, desde que tenham iOS 8 ou superior (e somente em alguns países).
O Firefox não está disponível para Windows Phone, Windows RT, Bada, Symbian, Blackberry OS, webOS ou outros sistemas operacionais para dispositivos móveis.

A versão Beta

Firefox Beta logo
Se você não se importa muito com pequenos problemas ou alguns raríssimos bugs no seu navegador e quer uma versão atualizada e bastante estável do Firefox, esta versão é para você.
A versão Beta contém os recursos que virão na versão Final, já passou por aproximadamente 6 semanas de testes após a versão de desenvolvimento Aurora e é aceitavelmente estável.
Você pode instalar a partir do site oficial da Mozilla ou pela loja Play Store.

A versão de desenvolvimento ou Aurora

Logo Firefox Aurora
Usar a versão de desenvolvimento (Developer Edition) ou Aurora, ainda não significa navegar em águas misteriosas, mas também não é para todos.
É nesta versão (ou neste ciclo) que as traduções são atualizadas.
É aqui que você vai encontrar os mais novos recursos em desenvolvimento para a versão estável do Firefox.
Quer uma dica? Use a versão estável e a Aurora — você pode instalar e usar as duas. Ou, ainda, se já usa outro navegador principal no seu smartphone ou desktop, pode usar a versão Beta ou Aurora como um segundo navegador.
Para baixar o Firefox Aurora para desktop, clique neste link.
Se você quiser a versão para Android, clique neste link.

Firefox Nightly

logo Firefox Nightly build
Aqui as águas podem ser bastante turbulentas para navegar.
Quem testa o Firefox Nightly é você e os desenvolvedores usam informações relativas ao seu uso para saber onde estão errando e como podem melhorar.
Esta é uma ótima maneira de ajudar no desenvolvimento do seu navegador preferido.
Ao final de um dia inteiro de trabalho, a versão Nightly (noturna) é empacotada e disponibilizada para download — e você recebe notificações para a atualização.
O que pode acontecer aqui é que o navegador pode estar funcionando num dia… e no outro não. 😉
Por este motivo, é uma péssima ideia usá-lo como browser exclusivo no seu sistema — por que você pode (e provavelmente vai) ficar “na mão”.
Use-o se você é fã do Firefox, quer ajudar no desenvolvimento do seu navegador favorito, experimentar os recursos mais novos que os desenvolvedores preparam HOJE e não tem medo de “viver perigosamente”.
Se você não é iniciante, pode fazer o download da versão desktop (para Windows, Mac e Linux) aqui.
Se você quiser mais opções de Download (inclusive Android), vá para este site.

Divirta-se!