Nos últimos tempos várias páginas de governos de diferentes países foram hackeadas, várias páginas web de organismos do estado foram alteradas em seu conteúdo. Isso é algo bastante grave tendo em conta que a imagem de qualquer país é conhecida hoje em muitos aspectos através de suas páginas web.

Alguns analistas de segurança disseram que é provável que os hackers provenham do exterior do país atacado já que nesta época é "temporada alta" já que a maioria das pessoas que se dedicam a isto (em sua maioria os hackers são estudantes universitários do hemisfério norte) estão de férias e dedicariam mais tempo a estas tarefas. Isto pode ser assim em parte, porém chama a tenção que tantas páginas tenham sido hackeadas nos últimos tempos, o qual faz suspeitar que o hacker possa provir desde o próprio país ou que tenha contatos locais.

Vejamos quais podem ser os meios de acesso a uma página oficial de um web site:

Para mudar o conteúdo web de um site há que ter um nome de usuário e senha de acesso ao servidor no qual se encontra hospedado o web site. Se o site está alojado em uma empresa de hosting do próprio país atacado (o qual é muito provável por se tratar de organismos do estado) teríamos que começar a investigar ou a perguntar às empresas de hospedagem de web sites, quais são os mecanismos de segurança que utilizam e que pessoas têm acesso ao conteúdo do site (webmasters, designers,etc) .
Se o site estiver hospedado em um servidor do próprio ministério ou repartição governamental é uma situação especialmente delicada já que cada ministério terá seus webmasters, programadores, designers, etc que podem ter diferentes estratégias de segurança diferentes, comportamentos , etc.

O habitual para invadir um site é instalar um troiano dentro do computador que hospeda as páginas web ou dentro da do webmaster que tem acesso ao server . Se o site estiver hospedado em uma provedor de hosting é pouco provável (tudo depende da seriedade do provedor) que um hacker possa instalar um troiano em tal servidor. Sim, é mais provável que possa faze-lo no computador da pessoa (ou pessoas) encarregadas de atualizar o site e que portanto, manejam senhas de acesso e informação sensível de ser copiada.
As táticas de engenharia social são as mais usadas por hackers para colocar um troiano em um computador que logo possa gravar o que o usuário escreve sobre o teclado e posteriormente envia-lo a um computador remoto.

É comum receber mensagens desde endereços web falsificados do próprio servidor indicando uma mudança de senha ou uma informação importante que vem em um arquivo em anexo. Dar dois cliques no arquivo em anexo faz com que o troiano fique instalado e comece a enviar informação para o exterior .

Tentar adivinhar a senha de acesso a uma web site com programas afins é extremamente difícil se uma senha tem 6 ou 7 caracteres e for do tipo "xc_f4.3" . Em um caso criminal com autorização judicial, o FBI demorou 3 anos em decifrar uma senha (três anos onde o computador esteve sempre ligado buscando a combinação de caracteres correta) . Depois do 11-S o FBI pode fazer mais rápido, sem dúvida, mas não se trata de evitar que o FBI entre em nosso site (isso é outra história) e sim, de que o faça um hacker que em geral conta com um computador de escritório comum e com pouco tempo livre para se dedicar exclusivamente a invadir um site. Não é como nos filmes onde o detetive olha ao redor os móveis do hacker e diz que a senha deve ser "bulls18maio" por um bilhete que viu na parede e justo é essa. Isso é um disparate.

É verdade que continuam usando-se senhas de fácil acesso por parte de usuários que fazem o login em estações de trabalho, porém as senhas de usuários administradores ou super-usuários ou as senhas de acesso a web sites são bastante mais complexas em sua maioria. Isso faz suspeitar e foi comprovado por estudos estatísticos que a imensa maioria dos ataques deste tipo contaram com algum contato interno dentro da instituição atacada: algum empregado desconforme, ou mudaram as autoridades e os novos responsáveis, mudaram todas as senhas de acesso? Este é um erro freqüente. Recomenda-se mudar as senhas com freqüência já que a mesma pode ter sido dada em confiança a uma pessoa que já não pertence à empresa e que pode ter sido vítima voluntária ou não de um hacker.

Por outro lado, comprovamos diariamente que a questão das senhas de acesso a sites se maneja tanto por parte de empresas públicas como privadas com falta de estratégias de segurança. Façamos uma analogia com o mundo físico, se você vai tirar uma cópia da chave da sua casa em uma serralharia e após um ano você perde suas chaves, não passaria pela sua cabeça em ir à serralharia para ver se eles têm uma cópia da sua chave. Na Internet é freqüente que se uma empresa perde a senha de acesso a seu web site ligue para o designer do site para ver se tem uma cópia do mesmo, mesmo que não tenha falado com o designer há muito tempo.
Da mesma maneira que protege as chaves de sua casa deverá proteger as senhas de acesso a um web site.
Muitas empresas até desconhecem os trâmites mínimos para solicitar uma senha de acesso perdida.

A estratégia básica de segurança em uma empresa com respeito às senhas de acesso deve conter os seguintes pontos:

• Utilizar senhas de difícil decifrado do tipo cv_K8up com o maior número de caracteres possíveis. Nunca usar palavras, datas ou palavras combinadas. Um ataque de dicionário pode deduzir facilmente qualquer senha que seja uma palavra em qualquer idioma.
• Atualizar freqüentemente um anti-vírus em cada computador que tiver acesso a Internet estabelecendo sanções aos funcionários que não atualizarem freqüentemente o anti-vírus .
• Utilizar um firewall e configura-lo adequadamente.
• Ter uma lista das pessoas que têm acesso à informação sensitiva e estabelecer prioridades e responsabilidades.
• Mudar as senhas freqüentemente.
• Estabelecer um protocolo de envio e recepção de e-mails que se cumpra rigorosamente.