Cerca
de 2% dos sites rodam sistemas de gerenciamento de conteúdo vulneráveis,
divididos igualmente entre Wordpress e Drupal.
Linkedin 20 de
maio 2015
Um em cada
três dentre os principais sites do mundo são vulneráveis a ataques ou já foram
hackeados, aponta um relatório da Menlo Security. Para descobrir isso, a
empresa de segurança investigou um milhão de páginas da web, com base no
ranking da Alexa.
A companhia
não detectou vulnerabilidades em 66% dos sites. Mas os 34% restantes foram
classificados como “arriscados”. Em especial, 22% deles estava rodando em uma
infraestrutura vulnerável. Por exemplo, mais de 10% de todos os sites estão
rodando uma versão vulnerável da aplicação de framework PHP.
Outros 8%
estão rodando software de servidor web vulnerável, dividido uniformemente entre
Apache e IIS. Cerca de 2% dos sites rodam sistemas de gerenciamento de conteúdo
vulneráveis, divididos igualmente entre Wordpress e Drupal.
Descobrir
que um site está rodando um software vulnerável não exige nenhuma habilidade
especial – o relatório aponta que a informação sobre a infraestrutura de base
de software de um site é fornecida para qualquer navegador que pedir.
Além das
próprias vulnerabilidades, 4% dos principais sites hospedam ativamente malware.
Outros 3% estavam com spam ou rodando botnets.
A Menlo
também analisou as categorias em que os sites se encaixavam, e a taxa de
vulnerabilidade geralmente ficava em torno de 20% para a maioria dos sites
mainstream, incluindo tecnologia, negócios, compras, entretenimento, notícias,
viagens, finanças, esportes e saúde. Algumas categorias de nicho tiveram taxas
de vulnerabilidade muito maiores, chegando a 80%, aponta a empresa.
Onde menos se espera
As ameaças
não se restringem apenas a páginas desconhidas. Por exemplo, criminosos usaram
o site da Forbes.com no mês passado para um rápido ataque do tipo watering
hole. Segundo a empresa de pesquisas iSIGHT Partners, o ataque durou apenas
alguns dias no fim de 2014, usou uma vulnerabilidade zero-day do Adobe Flash, e
foi ligado a um grupo chinês de ciberespionagem.
“Vimos o
hack da Forbes.com, e também tiveram alguns vários outros sites sendo hackeados,
com entrega de malware e tendo usuários inocentes como alvo”, afirmou o CTO da
Menlo, Kowsik Guruswamy. “Ficamos curiosos em como aquele malware chegou lá em
primeiro lugar”.
“A
Forbes.com é um site bastante conhecido. As pessoas pensam ‘não vamos nos preocupar
com isso’. Mas esse é o conceito errado”. Infelizmente, ele não tinha soluções
para oferecer para empresas buscando proteger seus funcionários. “Os métodos
atuais não estão funcionando”, afirmou.
Com Computer
World
A ConsultCorp distribui F-Secure no Brasil. Mais
informações acesse o site www.consultcorp.com.br