Uma das ameaças mais constantes que pairam sobre aqueles que têm sites na Internet diz respeito a invasões e outras quebras de segurança. Às vezes é só pelo desconforto e pela humilhação de ter sua privacidade violada, e na maioria dos casos é porque estas invasões implicam perdas relacionadas ao roubo de visitas ou à “contaminação” do domínio com material ilícito.
Seções desta página
Métodos de invasão
Existem muitos métodos de invasão de sites, sendo que os mais comuns são a exploração de falhas de segurança de programas conhecidos (como o amaldiçoado Timthumb, que tem permitido que milhares de sites sejam contaminados com trojans, tenham seu tráfego redirecionado para sites que instalam programas de roubo de senha, e principalmente que sejam banidos do Google por serem vetores de disseminação de vírus), e a “força bruta”.
A invasão por força bruta consiste num método simples, que não requer muita inteligência, mas requer persistência (daí o nome “força bruta”): ficar tentando adivinhar, até acertar, o usuário e a senha de uma conta.
Invasão por força bruta e cPanel
Sem entrar no mérito de as pessoas terem ou não o direito de conhecer técnicas para quebrar a segurança de sites alheios, podemos dizer com sinceridade que é uma pena que haja atualmente tantos recursos destinados a facilitar a qualquer ignorante entrar em servidores de terceiros.
Uma pesquisa simples no YouTube pode revelar dezenas de “tutoriais” estrelados por adolescentes que demonstram como fazem para invadir contas de cPanel, e a partir delas fazerem o que bem entendem no servidor.
Não traremos nenhum destes vídeos para ilustrar o texto porque não acreditamos, sinceramente, que dar visibilidade a esse tipo de atitude possa ser de alguma maneira benéfico aos nossos clientes.
O fato é que a maioria dos casos bem sucedidos de invasão por força bruta se baseiam em dois aspectos fundamentais:
- o nome de usuário da conta é muito fácil de inferir;
- a senha da conta é fraca, facilmente encontrável nos dicionários dos programas de força bruta.
Nem entraremos no mérito da força da senha por ora, até porque todo mundo já sabe (ou deveria saber) da importância de usar senhas difíceis.
Entretanto, o nome de usuário é algo que deve ser levado em consideração, primeiro porque as pessoas ainda não se deram conta da sua importância, e segundo porque o próprio cPanel (ou melhor, o WHM) sugere um nome de usuário extremamente previsível no ato de criação de uma nova conta.
O padrão previsível do cPanel
Basicamente, no cPanel, o nome de usuário de uma conta é formado pelos oito primeiros caracteres do domínio, excetuando-se pontos e traços.
Por exemplo: digamos que estivéssemos criando uma conta cujo domínio principal seja enikeji.com.br. Por padrão, o WHM criaria automaticamente um nome de usuário baseado nos primeiros oito caracteres do domínio: enikejic.
Por mais inexperiente que seja um cracker, se ele quiser tentar invadir o cPanel por força bruta ele vai deduzir o nome de usuário, e tentar “adivinhar” apenas a senha. Caso a senha utilizada no exemplo acima fosse uma senha fraca (como uma sequência de algarismos, uma data, ou o nome de usuário repetido ou invertido, por exemplo) bastariam alguns minutos para o invasor ter acesso completo ao domínio, e a partir daí poderia fazer o que bem entendesse.
Então, a dica de segurança é: ao criar uma conta no WHM, nunca aceite o nome de usuário que o WHM sugere, e sempre invente um o mais imprevisível possível.
Força Bruta e Firewall
Os servidores cPanel da PortoFácil são todos equipados com firewall por software, que entre outras funções trata do bloqueio dos IPs a partir dos quais se detectem tentativas de invasão por força bruta.
Os limites que usamos são bastante restritivos, e qualquer IP que tente por três vezes consecutivas acessar qualquer serviço errando a senha, será bloqueado, de forma a interromper imediatamente o ataque.
Aplicar a dica acima descrita aumentará consideravelmente a eficiência do sistema de defesa contra invasões por força bruta de seu servidor na PortoFácil. Não negligencie, nunca, até mesmo os mais simples aspectos de segurança relacionados aos seus sites.