Este artigo faz parte do livro “Jornalismo Inovador na América Latina,” publicado pelo Centro Knight para o Jornalismo nas Américas, com o apoio do Programa de Jornalismo Independente da Fundação Open Society.
Por Jorge Luis Sierra, ICFJ Knight Fellow
Você está preocupado com possíveis ataques cibernéticos? Sua publicação de notícias online saiu do ar recentemente? Existem hackers mal intencionados que estão infectando seu website e introduzindo anúncios não desejados?
Quase todos os meios confiam na internet e têm presença online, mas, ao mesmo tempo, existem governos corruptos, empresas privadas, serviços de interligêna abusivos e inclusive, às vezes, organizações criminosas atacando as publicações online independentes. Um ataque bem sucedido pode significar não só uma forte dor de cabeça para os jornalistas, como também o risco de ter que gastar muito dinheiro, tempo e recursos para recuperar um website.
A proteção de sua publicação online não deve ser cara nem representar o fim do seu meio de comunicação. Mas é necessário ter em conta que o risco de um ataque cibernético não pode ser eliminado totalmente, apenas reduzido.
No entanto, se você é proativo e toma medidas preventivas, pode reduzir de maneira significativa as possibilidades de que seu meio seja hackeado.
A seguir, listo algumas sugestões baseadas na minha experiência após escutar e aprender com meus colegas e ajudar publicações de notícias online em todo o mundo:
• Proteja computadores e dispositivos móveis com software antivírus e criptografia do disco rígido.
• Mantenha sempre atualizados seu software e seus aplicativos.
• Proteja a segurança física da sua redação e da localização de suas redes e servidores. Agora é comum que os hackers entrem em escritórios e redações para roubar computadores e obter acesso a suas plataformas, contas de e-mail e redes sociais.
• Como jornalista, você deve estar familiarizado com as informações básicas sobre ferramentas de segurança digital e os tipos de ataques cibernéticos. Você pode obter muita informação sobre esse tema nos seguintes websites: Security in a Box, ISCProject tools, EFF’s Surveillance Self Defense, e a Salama security library, que criei durante uma das minhas bolsas com o ICFJ Knight. Também pude aprender sobre os dez ataques cibernéticos mais comuns no site do OWASP.
• Evite o phishing (falsificação de identidade) e proteja sua equipe de engenharia social e você mesmo. Veja um guia sobre este tema aquí.
• Não clique em links ou arquivos inesperados, mesmo que venham de fontes conhecidas. Sempre faça uma verificação com o software antivírus antes de abri-los.
• Utilize o diceware para criar senhas de seis ou sete palavras. Esta é a melhor maneira de criar senhas que são difíceis de decifrar mas fáceis de lembrar.
• Utilize a ajuda ad honorem do Equalit.ie, uma organização sem fins lucrativos canadense que criou a plataforma Deflect e oferece hospedagem grátis e proteção contra ataques de negação de serviço. Você também pode optar pelo projeto Google Shield. Claro, você também pode contratar serviços comerciais, mas Deflect e Google estão mais bem preparados para compreender as necessidades dos meios online independentes.
• Hospede seu website em um servidor dedicado. Já vi muitos de meus colegas hospedando suas publicações online em servidores compartilhados com centenas ou até milhares de websites. Isso pode ser muito arriscado e perigoso para sua plataforma online, já que não apenas o servidor, como também os riscos, são compartilhados.
• Compre um certificado de segurança e um IP (Internet Protocol) único. Isto ajudará na credibilidade de seu site web e encriptará a comunicação entre os navegadores de seus usuários com seu servidor.
• Oculte sua área de acesso e personalize seu endereço de início de sessão. Muitos hackers aproveitam facilmente as vulnerabilidades dos websites quando estes mostram a URL tradicional de website.com/wp-admin para iniciar a sessão.
• Remova a informação sobre a versão do WordPress e o gerador de etiqueta meta. Isto vai proporcionar uma proteção adicional contra hackers.
• Evite as URL longas. Muitos hackers podem explorar as URLs longas para entrar no seu diretório de arquivos e fazer, por exemplo, um ataque do tipo “desfiguração”, que muda sua página inicial.
• Não permita que os usuários entrem em um diretório de arquivos ou em arquivos como readme.html, readme.txt, wp-config.php, wp-includes e .htaccess. Não é preciso ter acesso a esses arquivos de forma regular. É muito importante bloquear o acesso a eles e fechar as portas aos hackers profissionais ou amadores.
• Faça uma cópia de segurança da base de dados do seu site todos os dias. No caso de um ataque cibernético de sucesso, seria de grande ajuda ter uma cópia limpa da sua base de dados para aumentar as possibilidade de desfazer a infecção.
Os conselhos mencionados são passos simples que você pode tomar para proteger seu website. A maioria deles são sobre proteção e existem softwares livres e de código aberto disponíveis na internet.
No caso de o nível de ameaça ser mais alto que o normal e existirem ameaças imediatas de governos repressivos, funcionários corruptos ou companhia privadas, talvez seja necessário colocar seu site a prova dos dez ataques cibernéticos mais comuns.
A proteção contra invasão pode ser um serviço caro, mas é possível receber ajuda de projetos que oferecem proteção gratuita ou a custos muito baixos. As organizações que oferecem este serviço são o Information Safety and Capacity Project e o grupo Security Without Borders. Como fellow do ICFJ Knight, também comecei a oferecer este mesmo serviço por meio do Proyecto Salama.
Além disso, se você deseja ser mais rigoroso a respeito da segurança da sua informação, pode ser que seja necessário proteger não apenas o website, mas também a maneira com que seu meio gere a informação. Uma boa maneira de conseguir um alto nível de segurança em sua organização é estar em conformidade com as normas internacionais. Quando se chegar a este nível, você vai saber sobre a ISO27000. É um processo que protege não só os dispositivos e a tecnologia, mas também as práticas humanas e o processo de gestão da informação.
Outros guias na série incluem:
Nota do editor: Essa história foi publicada originalmente no blog de jornalismo nas Américas do Centro Knight, o predecessor do LatAm Journalism Review.