Este título, referente a um texto publicado na CIO, chamou a minha atenção. Será realmente possível? Acho muito difícil que venha a ser algum dia, porém os comentários e possíveis métodos de navegação que minimizem a possibilidade de quebra na segurança, levantados no texto, são bem plausíveis. Vamos a eles.
Primeiro o autor aponta os dois principais tipos de ataque a navegadores. O primeiro refere-se àqueles que alvejam explicitamente o browser de internet, e incluem:
- Cross Site Scripting, no qual o atacante ilicitamente insere código malicioso em uma página em que o usuário confia, e que portanto o seu navegador automaticamente executa.
- Cross Site Request Forgery, no qual o atacante insere código em uma página que lhe permite enviar comando no nome da vítima, usando o navegador desta, para outra página web, como por exemplo a de um banco ou outro alvo compensador.
- Click-jacking, ataque no qual programadores maliciosos carregam botões escondidos em um site e nos quais o usuário pode inadvertidamente clicar.
Ataques que alvejam os navegadores geralmente utilizam páginas ou links enganosos para redirecionar as conexões das vítimas, com o objetivo de sequestrar sessões abertas do navegador, instalar programas no computador vitimado ou mesmo realizar transações, como o envio do web mail da vítima para o atacante.
O segundo tipo de ataque já não se concentra somente no navegador mas no sistema como um todo, buscando brechas que possam estar relacionadas a programas desatualizados ou com falhas de segurança que nele possam estar instalados. Estes ataques tiram vantagem de vulnerabilidades que permitam a ação de vírus, worms ou acessos remotos.
Para uma defesa mais eficaz, o autor sugere uma estratégia de proteção multi-nível. Como é um analista de segurança ele, muitas vezes, tem de se infiltrar em lugares um tanto inóspitos para que possa se manter atualizado com as mais recentes formas de ataque sendo disseminadas na web, e portanto também sofre ataques voluntários para que facilitem o aprendizado. Seu método de proteção em diversas camadas pretende controlar os danos ao mesmo tempo em que amplia seu conhecimento.
Mesmo não sendo da área não significa que você também não possa aproveitar as dicas por ele oferecidas, e nada melhor do que aprender com que já está na luta pela segurança a mais tempo que nós. Sim isso vale também para mim. Afinal não se aprende tudo na faculdade e, em tecnologia, o avanço tende quase sempre a trazer novas vulnerabilidades e dores de cabeça.
Voltando ao assunto, o autor realiza a prevenção através da utilização de vários navegadores, sistemas operacionais e softwares de apoio à segurança. Na linha destes softwares ele cita a utilização do 1Password, programa que gera e armazena senhas de forma centralizada, dificultando assim a captura das mesmas em caso de quebra na segurança.
Por esta dica vemos que ele utiliza o sistema operacional Mac OS, e não há disponibilidade do software citado para os sistemas GNU/Linux, mas existem substitutos livres ou comerciais que realizam as mesmas funções do 1Password, são eles: KeePassX, LastPass, Passpack Online Password Manager, Password Gorilla e o Sxipper. Além de versões para GNU/Linux estes também disponibilizam outras para uso on-line, com Windows ou mesmo o Mac OS.
Além desse cuidado ele recomenda a utililização de múltiplos navegadores e até variados sistemas operacionais para cada tipo de navegação, por exemplo um para acesso a bancos ou para realizar compras pela internet, outro para acesso a contas de e-mail e um terceiro para navegação aleatória por sites que não podemos garantir a segurança. Como recursos extras ele também sugere a utilização de complementos como o NoScript e o Adblock Plus, que podem ser instalados no navegador Firefox e que bloqueiam a execução de JavaScripts, Java, Flash, entre outros conteúdos dinâmicos, permitindo assim o controle sobre a execução dos mesmos.
Para uma segurança ainda maior pode-se utilizar múltiplos sistemas operacionais, e para isso os softwares que permitem virtualização são os indicados, como os citados VMware Fusion, Parallels ou ainda o VirtualBox, que particularmente uso com frequência. Assim garante-se mais uma camada de isolamento, caso um sistema operacional virtualizado venha a ser comprometido tecnicamente não afetaria o hospedeiro. Outro recurso interessante é a utilização de LiveCD’s e o autor cita o Incognito Linux. Devo confessar que desconhecia a sua existência, mas não há nada que um download não pssa remediar. 
Além de todas as recomendações citadas no artigo devo acrescentar as mais básicas, como a atualização constante dos navegadores, complementos a eles adicionados, sistemas operacionais, gerenciadores de máquinas virtuais, e etc, além da instalação e configuração de firewall, anti-virus, entre outros. Assim podemos dizer que estaremos relativamente seguros quando de nossas andanças pelo mundo virtual da internet. Caso desejem ler o artigo original, basta acessar a sua página no site CIO.
