Os navegadores da Web são o principal alvo de muitos invasores atualmente, porque muitos dados confidenciais passam por eles. De compras casuais a sistemas de gerenciamento corporativo e operações militares, os navegadores se tornaram o principal veículo que as pessoas usam para acessar os sistemas conectados à rede.
Infelizmente, os navegadores têm um longo e histórico de vulnerabilidades que forneceram aos invasores um suprimento lucrativo e quase infinito de vítimas para atacar. A Quarri Technologies Inc, uma empresa de software de segurança de informações da Web, identificou algumas das principais vulnerabilidades que os invasores usam contra os navegadores.
Vale ressaltar que esse artigo tem como principal objetivo focar nas principais vulnerabilidades dos navegadores web, não em desproteções de sites (ataques de injeção de SQL, XSS, XSRF etc.). Essa distinção é sutil, mas importante. Acompanhe a leitura e saiba mais!
Explorações de Execução de Código no Navegador
Este é o tipo mais notório e também o mais raro. Ocasionalmente, os invasores descobrem uma vulnerabilidade no próprio navegador que permite a execução de código binário arbitrário quando um usuário simplesmente visita um site comprometido.
Os navegadores são peças complexas de maquinaria com muitos subsistemas (renderização HTML, mecanismo JavaScript, analisador CSS, analisador de imagens, etc.), e um pequeno erro de codificação em qualquer um desses sistemas pode oferecer código malicioso apenas o suficiente para ser executado.
A partir daí, o código malicioso tem muitas opções, baixar outros pacotes maliciosos, roubar dados confidenciais e enviá-los para servidores no exterior ou aguardar silenciosamente por mais instruções do invasor.
Prevenção
Ative as atualizações automáticas no seu sistema operacional e no navegador de sua preferência. Esse tipo de vulnerabilidade geralmente é corrigido rapidamente pelo navegador ou pelo fornecedor do sistema operacional e, portanto, os invasores têm uma janela muito curta para usá-lo em sistemas totalmente atualizados. Você provavelmente não é o alvo contra o qual eles usarão esse raro malefício.
Explorações de Execução de Código em Plug-ins
Plug-ins são provavelmente o vetor mais conhecido para downloads drive-by (ataques que baixam silenciosamente e executam código nativo em seu sistema). Do Flash ao Silverlight e ao Java, até mesmo plugins de fornecedores grandes e confiáveis têm, repetidamente, vulnerabilidades usadas em ataques de malware.
Como explorações de navegador, vulnerabilidades desse tipo são normalmente corrigidas por fornecedores em curto prazo, mas as cópias desatualizadas de plug-ins de navegador superam significativamente as atualizadas.
Prevenção
Mantenha seus plugins atualizados e desinstale plugins e extensões que você não usa. Os navegadores estão cada vez melhores para alertar os usuários sobre as desatualizações, portanto, não ignore os avisos.
Ameaças Persistentes Avançadas (APTs)
Ameaças persistentes avançadas (APTs) têm recebido muita mídia nos últimos anos (já ouviu falar do Stuxnet?). Esse tipo de ataque instala silenciosamente código malicioso em um endpoint e, em seguida, rouba dados (pressionamentos de teclas, capturas de tela, atividade do navegador) ou até mesmo modifica o que o usuário vê em seu navegador, às vezes sem ser detectado por anos.
Esses ataques usam uma miríade de métodos para serem instalados, muitos não relacionados ao navegador, por exemplo, por meio de um pen drive infectado ou um anexo de e-mail hostil. Mas, como muitas interações confidenciais ocorrem por meio do navegador, a maioria desses tipos de ataques prioriza o roubo de dados do navegador.
Prevenção
Instale um bom produto antivírus e apenas use o bom senso, não pegue pen drives aleatórios, não abra anexos de e-mail suspeitos ou visite sites pornográficos em seu computador de trabalho.
Ataques Man-In-The-Middle
Um invasor que tem acesso a qualquer ponto de uma conexão de rede entre um usuário e sites confidenciais (um “homem no meio”) tem a oportunidade de observar e modificar o tráfego que passa entre o navegador e os servidores da Web.
Os sites que usam TLS (sites cujos endereços começam com “https”) ajudam a derrotar isso, porque um invasor desse tipo tem muita dificuldade em falsificar o certificado criptográfico usado pelo servidor para se autenticar no navegador.
No entanto, os invasores sabem que muitos usuários foram condicionados a apenas clicar nos avisos quando eles aparecem e, portanto, podem usar um certificado inválido / forjado e, em muitos casos, os usuários ignorarão os avisos do navegador.
Prevenção
Não ignore os avisos do navegador! Em caso de dúvida, tente uma máquina diferente ou conexão com a Internet, ou apenas espere para conduzir sua transação confidencial mais tarde.
Envenenamento de DNS
Os invasores podem envenenar o sistema DNS (pense nisso como a lista telefônica que seu navegador usa para localizar o endereço IP de um site por seu nome) em várias paradas diferentes. Sua máquina armazena em cache as entradas de DNS e esse cache pode ser envenenado.
Um arquivo especial em sua máquina pode ser modificado para substituir os servidores DNS para determinados endereços da Web, e os próprios servidores DNS podem ser comprometidos e forçados a servir endereços IP inválidos para sites confiáveis. Assim que o ataque ocorrer, seu navegador entrará em contato com o servidor do invasor, em vez do servidor legítimo de qualquer site visado.
Ataques como esse normalmente têm como alvo bancos e outras instituições financeiras, enganando os usuários por tempo suficiente para que eles desistam das credenciais da conta, que são então usadas para esvaziar suas contas.
Prevenção
Sempre procure “https” no início do endereço do site ao visitar um site confidencial para fazer transações financeiras e (novamente) não ignore os avisos do navegador! Os invasores que envenenaram suas pesquisas de DNS ainda não podem falsificar os certificados usados para TLS; portanto, em muitos casos, eles usarão um endereço não-TLS (“http: //…”) e esperam que os usuários não percebam.
A RS Security Officer & Data Protection provê serviços de monitoramento remoto e proteção de ambiente em regime para as suas operações de cibersegurança.
Com os nossos profissionais, ajudamos empresas e organizações no desenvolvimento e execução de seus programas de Segurança da Informação,utilizando capacitação nos frameworks CISO e DPO da EXIN. Contacte-nos!