19 dezembro 2013
Segurança no Java: Missão Impossível?
Mais uma vez , os cibercriminosos lançaram um torpedo contra o Microsoft Office, mas o ataque foi arruinado graças à nossa astuta defesa cibernética.
Recentemente, um novo ataque foi descoberto: quando o usuário abre um documento do Word, um código malicioso é injetado no PC. Era um ataque 0-day que explorava uma vulnerabilidade desconhecida do programa, contra o qual a maioria dos antivírus não defendia. Mas, como você já deve ter adivinhado, o nosso antivírus sim!
Como? Nossa tecnologia de Prevenção Automática contra Exploits detectou um comportamento anormal e bloqueou o ataque de forma proativa. Sem atualizações, ou espera de qualquer tipo. Um tiro direto.
Ataques 0-day representam uma grande ameaça hoje.
Devemos derrubá-los com todas as nossas forças. No entanto, muitos antivírus são inúteis contra essas campanhas maliciosas, pois a maioria destes produtos são baseados em assinaturas, que prometem (mas não cumprem) proteção contra ameaças futuras. Claro que para combatê-los é preciso bom capital humano e recursos. Nem todos os provedores oferecem esses dois fatores e esta tecnologia não é nada fácil de copiar.
Ao contrário do pensamento de Buda e seus seguidores, a indústria de segurança digital não pode viver só do presente. Em vez disso, precisamos olhar constantemente à frente e prever o que se passa na cabeça dos cibercriminosos. Mais ou menos como no filme Minority Report. Por esta razão, o termo “pró-ativo” está sempre presente em nossas agendas desde o início dos anos 90, quando nos afastamos do resto da multidão de TI , entre outras coisas, para desenvolver uma abordagem heurística e nosso emulador. À frente da manada é a genética da Kaspersky Lab!
Uma vez que esta tecnologia foi inventada, há cerca de dois anos, todos os recursos de segurança são encontrados na AEP (Prevenção Automática de Exploits). Com este sistema, descobrimos uma série de ataques direcionados, entre os quais o Outubro Vermelho, Icefog e MiniDuke.
Mais tarde veio um súbito interesse do cibercrime pelo Java. Mas, mais uma vez, a nossa ferramenta de prevenção de exploits automaticamente combateu possíveis ataques. Isso foi possível graças ao módulo Java2SW especialmente projetado para detectar ataques feitos contra o Java.
Colcha de retalhos
O software de computador comum é, mais ou menos, uma colcha de retalhos: muitos remendos, com muitos buracos. Regularmente se acham vulnerabilidades (quanto mais popular, mais bugs são descobertos) e os fabricantes precisam liberar patches que resolvam esses erros.
Mas… # 1: os desenvolvedores de software não liberam patches diretamente, alguns levam meses.
Mas… # 2: a maioria dos usuários esquecem, ou não se importam, com a instalação de patches, trabalhando com um software defeituoso.
Porém 1: a grande maioria dos PCs do mundo tem um produto antivírus instalado.
O que devemos fazer? Simples! Usar artilharia pesada como o Java2SW. Por quê? Desta maneira, matamos dois coelhos com uma cajadada só no reino do Java.
Em geral, do ponto de vista da segurança, a arquitetura Java é muito avançado. Cada programa é executado em um ambiente isolado (JVM – Java Virtual Machine), sob a supervisão de um gerente de segurança. No entanto, ele tornou-se vítima de sua própria popularidade. Não importa o quão bem o sistema estivesse protegidos antes ou depois (diretamente proporcional a sua fama ), sempre havia alguma vulnerabilidade. Todos os fornecedores de software precisam estar preparados para (1) desenvolver tecnologias de proteção, (2) responder rapidamente e (3) informar aos usuários sobre o quão importante é os patches.
O fato é que a Oracle não fez um bom trabalho nos pontos anteriores. Na verdade, tem sido tão descuidada que os usuários começaram a remover o programa de seus navegadores, independentemente das consequências ao visualizar determinados sites.
Julguem vocês mesmos: o número de vulnerabilidades descobertas no Java em 2010 foi 52; em 2011, 59; 2012, 60 e 2013…180 (e ainda não acabou o ano). Da mesma forma aumento do número de ataques a este programa:
Ataques usando o Java como vetor (em verde)
Então, o que faz com que seja tão maravilhoso o módulo Java2SW e como ele evita esses ataques? Além do agente de segurança padrão, a cada máquina virtual Java ele adiciona um elemento extra que realiza análise independente no código de software e bloqueia se encontra a atividade suspeita .
Isso é muito difícil de fazer porque precisamos de ter acesso direto à plataforma. Por quê? Porque a partir do exterior o Java é bastante opaco e não se pode ver o que acontece lá dentro. Por exemplo, o software pode executar um ou outro processo, mas ninguém sabe. É um mistério! No entanto, se olharmos para o coração do programa, é possível saber o que está sendo executado, quais as permissões, qual a fonte e assim por diante, o que vai nos ajudar a tirar nossas próprias conclusões .
Graças à sua arquitetura, o Java fornece uma boa cobertura das diferentes plataformas (aplicações Java sem modificação podem trabalhar em praticamente qualquer sistema operacional). Com essa flexibilidade, muitas células cinzentas são necessárias para desenvolver um sistema de proteção e acesso direto ao coração da plataforma. Outro aspecto positivo do Java2SW é a maneira como ele trabalha em conjunto com outros subsistemas de proteção.
O módulo também envia informações para o Monitor do Sistema, o componente que coleta os sinais de outros sensores do antivírus, cria uma imagem global e toma decisões para bloquear ataques sofisticados.
Assim, mesmo se o Gestor de Segurança está em perigo por um ataque (como os cibercriminosos gostam de fazer), nada acontece!
O resultado ?
Em primeiro lugar, com uma grande taxa de sucesso, podemos proteger os usuários de ataques via Java. Nós adicionamos uma margem de segurança entre a descoberta de uma brecha e o lançamento de um patch.
Além disso, mesmo se um usuário pertence a essa categoria de “preguiçosos” que preferem não instalar patches, os protegemos de qualquer maneira.