Aplicativos populares se tornam alvos de criminosos virtuais

A vítima de piadas a respeito de segurança costumava ser a Microsoft – talvez alguma coisa sobre o nome do sistema operacional Windows (“janelas”), o sobrenome de seu cofundador Bill Gates (“portões”) e as várias maneiras de penetrar o software da empresa. Mas essas piadas parecem ter ficado velhas. Até ataques ao Internet Explorer hoje são considerados “formidáveis”, embora o navegador já tenha sido chamado de “Internet Exploder”, ou ainda, “Internet Exploiter”, numa brincadeira com o termo ‘exploit’, que significa um código que explora uma vulnerabilidade. Mas nem por isso os ataques dos criminosos são hoje mais difíceis: o elo mais fraco da corrente está com os vários aplicativos populares que não passaram pela mesma “experiência”. Talvez o exemplo mais notável seja o Adobe Reader. A função do Reader é ler arquivos do tipo PDF (Portable Document Fortmat), um formato de documentos criado pela própria Adobe. O intuito do PDF é permitir que um arquivo seja exibido da mesma forma em diferentes plataformas. O Reader está disponível para Windows, Mac e Linux, mas qualquer um pode criar um leitor de PDF. Por esse motivo, leitores de PDF estão disponíveis para diversas plataformas e até para celulares.

No entanto, o software da Adobe é a referência. Por esse motivo, CD-ROMs que acompanham equipamento de hardware incluem o Reader para que o usuário possa ler os manuais disponibilizados em PDF. Sites que fornecem documentos nesse formato também instruem seus visitantes a baixar o Reader.

Nesse momento há uma falha sem correção no Reader que permite a um criminoso criar um documento PDF malicioso. Isso não é normal: arquivos de dados como PDFs não devem conter nenhum tipo de vírus. Códigos maliciosos deveriam – em tese – se limitar a arquivos executáveis, que no Windows recebem extensões como EXE, SCR, PIF, CMD e BAT. Mas vulnerabilidades como essa no Reader permitem que muitos outros arquivos sejam usados de forma maliciosa – são outros “vetores de ataque”, no jargão da segurança da informação.

Durante muito tempo, o tipo de arquivo preferido para esse tipo de falha eram as páginas de internet. Páginas de internet também não deveriam instalar vírus no computador. Mas navegadores web são softwares muito complexos, e complexidade tende a resultar em mais brechas.

Os navegadores reforçaram sua segurança, porém, assim como aconteceu com o Windows. O resultado é que hoje os plugins são tão atacados quanto os navegadores em si , porque os desenvolvedores do Internet Explorer e do Firefox, por exemplo, não tem nenhum controle sobre a programação dos plugins. Entre os plugins preferidos pelos criminosos está exatamente o Reader. Mas esse não é um movimento que afeta apenas o Reader. Antes do Reader, outro software muito popular e ainda inseguro estava sendo atacado: o Microsoft Office. Principalmente até a versão 2003, que não passou pelo processo de programação segura da Microsoft , o software tinha brechas que facilmente permitiam a um invasor criar um arquivo DOC, do Word, ou XLS, do Excel, capaz de infectar a máquina. Usadas em espionagem industrial, vulnerabilidades nesses programas facilmente conseguiam ao invasor o acesso aos arquivos de uma empresa, já que arquivos como esse são enviados para cá e para lá diariamente.

Brasileiro desenvolve método para identificar PDFs maliciosos

Uma “vantagem” de formatos como o PDF é que existe uma estrutura comum que deve ser respeitada. Arquivos maliciosos, para funcionarem, às vezes precisam violar essa estrutura de alguma forma. Isso chamou a atenção de pesquisadores da Trustwave Spiderlabs, entre eles o brasileiro Rodrigo Montoro.

O sistema desenvolvido por Montoro e seus colegas funciona com uma pontuação. Cada elemento suspeito em um PDF aumenta essa pontuação e, dependendo da nota, o arquivo será marcado como malicioso. “Tentamos detectar se o arquivo é malicioso ou não dando notas ao uso de determinadas funções existentes na estrutura do PDF”, explica Montoro. “Não existem tantas formas diferentes de fazer a chamada das ações que os arquivos maliciosos utilizam”.

O método desenvolvido pela equipe da Trustwave, que será apresentado por Montoro em uma conferência de segurança em San Diego, na Califórnia, conseguiu inclusive detectar os PDFs maliciosos que exploram a nova falha sem correção no Reader. As proteções existentes não conseguiram a mesma façanha.

A pesquisa de Montoro é especialmente importante agora, com o cenário de ataques mudando. “Se voltarmos alguns anos, os grandes alvos eram os sistemas operacionais, especialmente Windows, que possuía falhas e mais falhas. Os fabricantes de sistemas começaram a fortalecê-los, utilizar proteções e sistemas de atualizações automáticas que [reduzem] bastante as oportunidades [de invasão], o que fez com que atacantes procurassem outros alvos”, afirma o especialista. “Esses alvos hoje em dia são os aplicativos de terceiros que rodam nas máquinas”, completa.

Segundo ele, a Adobe nunca se preocupou muito com segurança e por isso agora está colhendo o que plantou: seu software é a “bola da vez” entre os alvos dos criminosos. Mais um detalhe: o PDF tem várias funções, como Javascript, que aumentam as possibilidades de ataque. “O formato do PDF é muito complexo, mas ao mesmo tempo muito simples de ser utilizado”, diz Montoro.

A detecção de PDFs maliciosos desenvolvida ainda é rudimentar. Para o especialista, melhorá-la é apenas uma questão de trabalho. Basta que mais arquivos PDF desse tipo sejam analisados para aperfeiçoar o sistema de notas, reduzindo alarmes falsos e aumentando a probabilidade de identificação correta de um arquivo ruim.

Ideia pode ser aplicada a outros arquivos

Se arquivos PDFs podem ser detectados de forma genérica, o mesmo provavelmente pode ser feito com outros formatos de arquivos. “Acredito com uma boa base de exemplos analisados podemos criar um sistema de notas para qualquer tipo de arquivo – logicamente alguns serão mais simples, outros vão exigir mais ferramentas e o desenvolvimento de código”, opina Montoro.

Outras soluções propostas são sandboxes – sistemas de isolamento no qual um arquivo aberto em determinado software não poderia comprometer o computador inteiro, caso uma falha fosse explorada. No Linux, existe um software chamado AppArmor que busca controlar as ações que cada software pode realizar. Com isso, não há motivo para permitir que um software cujo único objetivo seja ler PDFs execute programas quaisquer.

Mas os criminosos se movimentam rápido. No cenário atual, é preciso se movimentar mais rápido que eles para trazer esse tipo de solução ao usuário.

A coluna Segurança para o PC de hoje fica por aqui. Se você tem alguma dúvida, deixe-a na seção de comentários, porque quarta-feira (15) eu volto com o pacotão de respostas. Até lá!