Medidas de Seguranças

Aqui citaremos algumas medidas que tomamos para tornar Sabesim mais seguro.

Ações Pró-Ativas

Estas são as ações que fazemos pró-ativamente para aumentar a segurança:

Conexão SSL/HTTPS

O Sabesim usa encriptação SSL por padrão no sistema.

Acesso restrito a recursos sensitivos

O Acesso ao banco de dados, bem como a serviços específicos só pode ser feito por servidores que estejam dentro do escopo de servidores do Sabesim. Isto significa que ninguém externo conseguirá sequer tentar ver o seviço.

Bloqueio de Portas

Apenas portas essenciais ao acesso do usuário são abertas (HTTP e HTTPS).
As demais portas são todas fechadas.

Backup Constante

O Sabesim faz Backups constantes de diários dos dados mais sensitivos.

Servidores Robustos

Utilizamos o serviço de Cloud da Amazon, o que proporciona extrema robustez no sistema.

Ataques / Prevenção

Abaixo listamos as principais formas de ataque existentes.
Em seguida vou explicando como o Sabesim se previne a estes ataques.

SQL Injection, 18,87%
É quando alguém com acesso ao sistema, de alguma forma injeta códigos SQL na requisição ao servidor. Caso este não trate este código, o cara pode por exemplo deletar ou alterar tabelas do banco.
O Sabesim é 100% seguro quanto a isso, pois usamos JPA do Java, que de cara impede que um código malicioso chegue ao sistema.

Cross Site Scripting (XSS), 12,58%
É quando alguém manda um código malicioso (Geralmente via Javascript) a outra pessoa geralmente por mensagem. O Orkut era famoso por ter muito destas falhas.
O Sabesim é 100% seguro quanto a isso, pois toda as mensagens, antes de serem gravadas no banco de dados, passam por um processo chamado “Satinizing”.
Neste processo apenas TAGS Html seguras passam pelo pente fino, e o que não estiver seguro é descartado.

Denial os Service 8,06%
É quando o sistema recebe requisições demais ao mesmo tempo. Geralmente de um mesmo IP, ou servidor.
O Sabesim por estar hospedado na Amazon consegue aguentar tráfego pesado, além de poder redirecionar tráfego malicioso para um servidor fake.

Predictable Resource Location 4,35%
É quando por exemplo existe uma página “secreta” que só o dono do site sabe onde fica, e que serve para fazer algo importante no sistema.
O Sabesim não tem nenhuma página assim

Unintententional Information Disclosure 4,35%
Exibição acidental de informação. É quando o cara por exemplo mantem num papel junto com o cartão do banco, a senha dele.
Não existe meio eficiente de contornar isso via sistema, apenas educando as pessoas.

Brute Force 4,03%
É quando o cara tenta milhões de vezes acessar uma conta ou algo assim tentando senhas variadas.
No Sabesim, se o cara errar a senha 03 vezes, o sistema bloqueia a conta por 02 minutos tornando o ataque inviável.

Credential and Session Prediction 2,9%
O Sabesim para identificar você gera um Cookie com um valor nele do tipo s=drt567zwer_8
Existem sites que usam o mesmo numero, ou chave sempre, e se alguém descobrir isso, pode acessar a conta como sendo a pessoa.
O Sabesim gera esta chave de forma randômica, e ela muda toda vez que é feito login, tornando este ataque impossível.

Deixe uma resposta