Existem várias formas de avaliar a segurança de um website, durante a navegação diária pela internet. Faz até algum tempo, uma das dicas mais vezes encontrada era de avaliar se o site tem uma ligação segura – HTTPS.
No entanto, se é utilizador ativo da internet nos últimos anos, certamente deve ter verificado que a maioria dos sites atualmente existentes possui todas as ligações HTTPS. Isto partiu de uma mudança que ocorreu faz alguns anos, em que a Google começou a puxar para o uso das ligações seguras pela internet.
Hoje em dia é difícil encontrar um site que não tenha uma ligação HTTPS – até mesmo sites usados para esquemas, burlas e outros ataques. Mas, e o que aconteceu à dica de verificar por uma ligação segura?
Antes de mais, é necessário compreender o que significa exatamente o HTTPS.
Para começar, o HTTPS (Hypertext Transfer Protocol Secure) é uma versão mais segura do HTTP, um protocolo bastante antigo para a transmissão de dados na internet. A versão original permitia a ligação direta entre sistemas, mas sem qualquer género de encriptação de dados.
Isto permitia que terceiros poderiam aceder aos mesmos, e consequentemente, aceder aos dados que eram transmitidos – como dados bancários, senhas e outras informações. O HTTPS veio alterar isso, integrando um sistema seguro para a transmissão dos dados.
Basicamente, os dados transmitidos via HTTP começaram a ter uma camada segura (dai o S final), que aplica várias técnicas para impedir que terceiros possam aceder aos dados durante a transmissão. Isto impede que olhares indiscretos entre a ligação do utilizador e do servidor possam aceder aos dados.
Obviamente, isso veio adicionar uma camada de segurança na ligação, mas… nem tudo é um mar de rosas.
Antes de o HTTPS ser a “norma”, muitos websites usavam apenas a ligação HTTP, levando a que os dados fossem transmitidos de forma insegura. Plataformas como sites bancários e plataformas de pagamentos até poderiam usar o HTTPS, mas por norma, a grande maioria dos sites não usavam a técnica.
Portanto, nesta altura, uma das dicas de segurança em usar sites HTTPS (seguros) era certamente válida.
No entanto, isso mudou quando a Google começou a intensificar as medidas para que os sites adotassem a ligação segura como um padrão geral de segurança. O Chrome, e pouco depois vários outros navegadores, começaram a puxar a ideia de usar o HTTPS como forma básica de segurança.
Isto fez também com que começassem a surgir formas de ser mais simples obter um certificado SSL (necessário para obter o HTTPS), tanto que existem mesmo alternativas gratuitas para tal. Obviamente, este género de acesso facilitado também veio tornar mais simples a tarefa para sites maliciosos de usarem os mesmos.
De acordo com um estudo da empresa Phishlabs, de 2017, cerca de 25% dos sites maliciosos nesse ano usavam já ligações HTTPS, enquanto que faz menos de um ano antes o valor encontrava-se abaixo de 1%.
Foi aqui que a ideia antiga de “procurar um site HTTPS” para garantir segurança veio trazer alguns problemas. Isto porque, agora, os sites maliciosos também teriam uma forma de rapidamente obter esta certificação, e começarem a ter a ligação segura – que muitos usavam para validar se estavam num local correto ou não.
Isto levou a que muitas das vítimas apenas olhassem para a parte inicial dos sites, vissem o HTTPS, e considerassem o acesso “seguro”, mesmo que o resto do site não o fosse.
Com o tempo, navegadores como o Chrome e Firefox deixaram de dar destaque ao HTTPS no domínio, tanto que as versões mais recentes nem apresentam a ligação – apenas o domínio em si. Anteriormente, o HTTPS era destacado para indicar que o site era seguro, surgindo com um cadeado e com o tom verde na barra de navegação. Agora, nem o mesmo aparece.
Portanto, a ideia de HTTPS é seguro ainda se mantêm?
Como vimos anteriormente, não. Por um site ter uma ligação HTTPS segura, isso não quer dizer que o site seja legítimo. Os dados que são transmitidos no mesmo podem estar seguros, mas o que o site realiza, e os dados que recolhe, não o torna diretamente um conteúdo “seguro”.
Devem ser adotadas outras técnicas para garantir que o conteúdo é seguro, como analisar o link do site, e se este corresponde à entidade que se pretende, ou avaliar o conteúdo presente no próprio site.
A ideia de “HTTPS é seguro” deixou de ser válida faz alguns anos, e os utilizadores devem adaptar-se a essa realidade. Felizmente, isso começou a mudar conforme o HTTPS começou a tornar-se também mais “banal”, mas ainda existe muita plataforma que indica aos utilizadores para “verificarem por HTTPS”, o que não é inteiramente correto.
A Cisco, uma empresa multinacional de tecnologia, inaugurou na semana passada um novo Centro de Experiência Tecnológica em Cibersegurança na Universidade de Nairobi, no Quénia.
A Check Point Software estudou a evolução do correio eletrónico para ver como este se desenvolveu para se tornar numa das principais ferramentas de comunicação e, por sua vez, num ponto central de ataque por parte dos cibercriminosos.
O Banco Nacional de Angola (BNA) prevê aprovar a Visão do Sistema Nacional de Pagamento, para o período 2023/2028, em novembro próximo, com vista ao reforço do acesso aos serviços financeiros de baixo valor, inclusão da tecnologia e inovação (fintech), bem como das startups.
