Entre todas as invasões de hackers divulgadas pela mídia a mais assustadora para o público em geral é a que modifica páginas de uma empresa na Internet. Conseqüentemente é o tipo de invasão mais divulgado, principalmente porque a empresa não tem como esconder os fatos, atitude padrão nas invasões internas. Parte do motivo para não se notificar invasões é o comprometimento da imagem da vítima porque denota uma falta de cuidado com seu sistema de informação.

Paradoxalmente os incidentes mais notificados - invasões e modificações de sites - são os que menos comprometem os dados da empresa, uma vez que na sua grande maioria estas modificações são conseguidas através de substituição ou adição de simples arquivos aos diretórios onde residem as páginas do site.

Invadir páginas na Internet é como colar um cartaz na vitrine de uma loja. Nem sempre é preciso entrar na loja para chamar a atenção do visitante e dar o seu recado.

Apesar das invasões de grandes sites receberem bastante atenção, a maioria dos incidentes, que é sofrida por pequenas empresas e páginas pessoais, nunca é notificada aos responsáveis pela prestação do serviço e muito menos às autoridades competentes.

Então, o que fazer se a sua página pessoal for invadida? Primeiro, você deve descobrir de que forma esta invasão foi feita para poder eliminar o problema. Tire a página do ar e analise os sistemas envolvidos. Grandes empresas têm vários becos por onde começar a procurar estas brechas de segurança, mas usuários simples ou pequenos sites - principalmente com serviço de hospedagem de sites contratado de terceiros - têm um número bem menor de problemas a analisar (mas com igual responsabilidade).

O método mais simples de invadir um site é "não invadir". Pode-se utilizar o mesmo método usado para a sua manutenção, se fazendo passar pelo dono das páginas, conseguindo acesso para modificá-las. Isto geralmente é feito através de senha em uma conta FTP (ou qualquer outro método de acesso) e esta senha pode ser conseguida de várias maneiras, como por exemplo atacar e/ou criar vulnerabilidades no computador do usuário responsável por esta senha.

Por exemplo, a invasão de uma página pessoal hospedada no GeoCities: um hacker pode adivinhar a senha do usuário - sério, e isto é bem grave! - ou enviar (através do email de contato que geralmente reluz na página-alvo) uma série de arquivos que abrem brechas no computador da vítima, tipo trojan horses, que fariam o trabalho sujo de monitorar a vida da pessoa até conseguir a senha para acesso à página. Alguns se utilizam de engenharia social, se fazendo passar por técnicos do GeoCities - criando emails falsos - e solicitando um "recadastramento" dos dados, recebendo de bandeja a senha da vítima.

A criatividade para estas ações não tem limites, seja no GeoCities ou em qualquer outro serviço de hospedagem de páginas - gratuito ou não - que oferece estas facilidades de inscrição e manutenção.

Métodos mais "nobres" - do ponto de vista hacker - envolvem apenas o serviço de hospedagem onde a página se encontra. Invasões deste tipo também podem ocorrer através de engenharia social, onde o hacker se faz passar pelo verdadeiro dono da página, mas é a minoria. Geralmente se utiliza de alguma vulnerabilidade nos softwares responsáveis pelo serviço para obter acesso ao sistema e conseguir modificar as páginas desejadas. Existem ferramentas que tornam esta tarefa trivial e muitas das invasões de sites institucionais atualmente - inclusive do governo - são vítimas destas vulnerabilidades.

Se a sua página é hospedada em computadores que não estão sob sua responsabilidade - que é o caso dos GeoCities e outros serviços online e dos provedores de serviços internet - você deve se certificar de que o método utilizado para fazer a manutenção na sua página é seguro, e de que ninguém pode se fazer passar por você para ter acesso a ela. Esta é uma tarefa árdua que precisa ser feita com a maior atenção possível mas, uma vez livre desta culpa, a brecha estará sob a responsabilidade do serviço de hospedagem. Eles têm seus próprios mecanismos de verificação e é primordial que sejam notificados para que o trabalho em conjunto identifique e elimine o grande problema que é ter uma página na Internet invadida e modificada por hackers.