Se voc\u00ea abrir qualquer site, \u00e9 prov\u00e1vel que a primeira coisa que veja seja uma notifica\u00e7\u00e3o pop-up sobre o uso de cookies. Geralmente, voc\u00ea pode aceitar todos os cookies, apenas os essenciais ou rejeit\u00e1-los totalmente. Independentemente da sua escolha, voc\u00ea provavelmente n\u00e3o notar\u00e1 diferen\u00e7a, e o aviso desaparece da tela de qualquer forma.<\/p>\n
Hoje, vamos mergulhar mais fundo no pote de cookies: descobriremos para que eles servem, quais tipos existem, como os invasores podem intercept\u00e1-los, quais s\u00e3o os riscos e como se proteger.<\/p>\n
Quando voc\u00ea acessa um site, ele envia um cookie para o seu navegador. Trata-se de um pequeno arquivo de texto que guarda informa\u00e7\u00f5es sobre voc\u00ea, seu sistema e suas a\u00e7\u00f5es no site. O navegador armazena esses dados no seu dispositivo e os envia de volta ao servidor sempre que voc\u00ea retorna a esse site. Isso simplifica a intera\u00e7\u00e3o com o site, pois voc\u00ea n\u00e3o precisa fazer login em todas as p\u00e1ginas. Os sites lembram suas configura\u00e7\u00f5es de exibi\u00e7\u00e3o, as lojas on-line guardam os produtos no carrinho, os servi\u00e7os de streaming sabem qual \u00e9 o \u00faltimo epis\u00f3dio que voc\u00ea assistiu. Os benef\u00edcios s\u00e3o ilimitados.<\/p>\n
Os cookies podem armazenar suas informa\u00e7\u00f5es de login, senha, tokens de seguran\u00e7a, n\u00famero de telefone, endere\u00e7o residencial, dados banc\u00e1rios e o ID de sess\u00e3o. Vamos examinar mais de perto o identificador de sess\u00e3o.<\/p>\n
Um ID de sess\u00e3o<\/strong> \u00e9 um c\u00f3digo \u00fanico atribu\u00eddo a cada usu\u00e1rio ao entrar em um site. Se algu\u00e9m interceptar esse c\u00f3digo, o servidor Web ver\u00e1 essa pessoa como um usu\u00e1rio leg\u00edtimo. Imagine que voc\u00ea possa entrar no escrit\u00f3rio usando um passe eletr\u00f4nico com um c\u00f3digo \u00fanico. Se o seu passe for roubado, o ladr\u00e3o, mesmo que n\u00e3o se pare\u00e7a com voc\u00ea, poder\u00e1 abrir qualquer porta \u00e0 qual voc\u00ea tenha acesso. Enquanto isso, o sistema de seguran\u00e7a continuar\u00e1 acreditando que \u00e9 voc\u00ea quem est\u00e1 entrando. Parece cena de s\u00e9rie policial, n\u00e3o \u00e9 mesmo? O mesmo acontece online: se um hacker roubar um cookie com seu ID de sess\u00e3o, ele poder\u00e1 entrar em um site j\u00e1 acessado por voc\u00ea, usando seu nome, sem precisar de login e senha; \u00e0s vezes, conseguem at\u00e9 burlar a autentica\u00e7\u00e3o de dois fatores. Em 2023, hackers roubaram os tr\u00eas canais do YouTube do famoso blogueiro de tecnologia Linus Sebastian: o \u201cLinus Tech Tips\u201d e outros dois canais do Linus Media Group com dezenas de milh\u00f5es de inscritos. E foi exatamente assim que aconteceu. J\u00e1 abordamos este caso detalhadamente<\/a>.<\/p>\n Vamos organizar os diferentes tipos de cookies. Eles podem ser classificados de acordo com v\u00e1rias caracter\u00edsticas.<\/p>\n \u00c9 poss\u00edvel que cookies de sess\u00e3o se tornem persistentes. Por exemplo, se voc\u00ea marcar caixas como \u201cLembrar de mim\u201d, \u201cSalvar configura\u00e7\u00f5es\u201d ou algo semelhante em um site, os dados ser\u00e3o salvos em um cookie persistente.<\/p>\n Um mesmo cookie pode pertencer a v\u00e1rias categorias: por exemplo, a maioria dos cookies opcionais s\u00e3o de terceiros, enquanto os essenciais incluem os tempor\u00e1rios que garantem a seguran\u00e7a de uma sess\u00e3o. Para obter mais informa\u00e7\u00f5es sobre como e quando todos esses tipos de cookies s\u00e3o usados, leia o relat\u00f3rio completo no Securelist<\/a>.<\/p>\n Cookies que cont\u00eam um ID de sess\u00e3o s\u00e3o os alvos mais tentadores para hackers. O roubo de um ID de sess\u00e3o tamb\u00e9m \u00e9 conhecido como sequestro de sess\u00e3o<\/a>. Vamos analisar alguns dos m\u00e9todos mais comuns e interessantes.<\/p>\n O sequestro de sess\u00e3o acontece quando um invasor monitora, ou \u201cfareja\u201d, o tr\u00e1fego de Internet entre um usu\u00e1rio e um site. Esse tipo de ataque ocorre em sites que usam o protocolo HTTP<\/a>, que \u00e9 menos seguro que o HTTPS. Com o HTTP, os arquivos de cookie s\u00e3o transmitidos em texto simples dentro dos cabe\u00e7alhos das solicita\u00e7\u00f5es HTTP, o que significa que eles n\u00e3o s\u00e3o criptografados. Um invasor pode facilmente interceptar o tr\u00e1fego entre voc\u00ea e o site e extrair os cookies.<\/p>\n Esses ataques normalmente acontecem em redes Wi-Fi p\u00fablicas, especialmente quando n\u00e3o est\u00e3o protegidas pelos protocolos WPA2 ou WPA3. Por isso, recomendamos<\/a> ter cuidado extremo ao usar pontos de acesso p\u00fablicos. \u00c9 muito mais seguro usar dados m\u00f3veis. Se estiver viajando para o exterior, \u00e9 recomend\u00e1vel usar um eSIM<\/a>.<\/p>\n O scripting entre sites<\/a> est\u00e1 entre as principais vulnerabilidades de seguran\u00e7a da Web, e com raz\u00e3o. Esse tipo de ataque permite que pessoas com m\u00e1s inten\u00e7\u00f5es obtenham acesso aos dados de um site, incluindo os arquivos de cookie que cont\u00eam os cobi\u00e7ados IDs de sess\u00e3o.<\/p>\n Funciona assim: o invasor encontra uma falha no c\u00f3digo do site e injeta um script malicioso; depois, basta voc\u00ea acessar a p\u00e1gina infectada, e seus cookies est\u00e3o comprometidos. O script obt\u00e9m acesso total aos cookies e os envia ao invasor.<\/p>\n Ao contr\u00e1rio de outros tipos de ataques, a falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o entre sites<\/a> explora a rela\u00e7\u00e3o de confian\u00e7a entre o site e seu navegador. Um invasor engana o navegador de um usu\u00e1rio autenticado para executar uma a\u00e7\u00e3o n\u00e3o desejada sem seu conhecimento, como alterar senha ou apagar dados, incluindo v\u00eddeos enviados.<\/p>\n Para esse tipo de ataque, a pessoa mal-intencionada cria uma p\u00e1gina da Web ou um e-mail contendo um link malicioso, c\u00f3digo HTML ou um script com uma solicita\u00e7\u00e3o ao site vulner\u00e1vel. Basta abrir a p\u00e1gina ou e-mail, ou clicar no link, para que o navegador envie automaticamente a requisi\u00e7\u00e3o maliciosa ao site alvo. Todos os cookies desse site ser\u00e3o anexados \u00e0 solicita\u00e7\u00e3o. Acreditando que foi voc\u00ea quem solicitou, digamos, a altera\u00e7\u00e3o da senha ou a exclus\u00e3o do canal, o site executar\u00e1 a solicita\u00e7\u00e3o dos invasores em seu nome.<\/p>\n \u00c9 por isso que recomendamos n\u00e3o abrir links enviados por estranhos e instalar uma solu\u00e7\u00e3o de seguran\u00e7a confi\u00e1vel<\/a>\u00a0para alertar voc\u00ea sobre links ou scripts maliciosos.<\/p>\n \u00c0s vezes, os invasores n\u00e3o precisam de esquemas complexos: basta adivinhar o ID de sess\u00e3o. Em alguns sites, os IDs de sess\u00e3o s\u00e3o gerados por algoritmos previs\u00edveis e podem incluir dados como seu endere\u00e7o IP junto a uma sequ\u00eancia de caracteres f\u00e1cil de adivinhar.<\/p>\n Para executar esse ataque, os hackers precisam coletar amostras suficientes de IDs, analis\u00e1-las e descobrir o algoritmo de gera\u00e7\u00e3o para prever IDs de sess\u00e3o por conta pr\u00f3pria.<\/p>\n H\u00e1 outras maneiras de roubar um ID de sess\u00e3o, como ataques de fixa\u00e7\u00e3o de sess\u00e3o<\/strong>, cookie tossing<\/strong> e man-in-the-middle (MitM)<\/strong><\/a>. Esses m\u00e9todos s\u00e3o detalhados em nossa postagem dedicada do Securelist<\/a>.<\/p>\n Boa parte da responsabilidade pela seguran\u00e7a dos cookies recai sobre os desenvolvedores de sites. Oferecemos dicas para eles em nosso relat\u00f3rio completo no Securelist<\/a>.<\/p>\n Mas h\u00e1 algumas coisas que todos podemos fazer para nos manter seguros online.<\/p>\n Quer aprender ainda mais sobre cookies? Confira esses artigos:<\/p>\n Como bloquear cookies no seu navegador<\/a><\/p>\n Tecnologia de Atribui\u00e7\u00e3o com Respeito \u00e0 Privacidade da Mozilla<\/a><\/p>\n Est\u00e3o pegando suas impress\u00f5es digitais?<\/a><\/p>\n Como controlar cookies: um experimento no mundo real<\/a><\/p>\nQue tipos de cookies existem?<\/h2>\n
Por tempo de armazenamento<\/h4>\n
\n
Por fonte<\/h4>\n
\n
Por import\u00e2ncia<\/h4>\n
\n
Por tecnologia de armazenamento<\/h4>\n
\n
Como os IDs de sess\u00e3o s\u00e3o roubados via sequestro de sess\u00e3o<\/h2>\n
Sniffing de sess\u00e3o<\/h4>\n
Ataques de scripting entre sites (XSS)<\/h4>\n
Falsifica\u00e7\u00e3o de solicita\u00e7\u00e3o entre sites (CSRF\/XSRF)<\/h4>\n
IDs de sess\u00e3o previs\u00edveis<\/h4>\n
Como se proteger de ladr\u00f5es de cookies<\/h2>\n
\n