0 Especialistas burlam isolamento anti-invasão em softwares populares

Falhas de segurança são inevitáveis. É possível reduzi-las, mas não acabar com todas elas. Com base nessa ideia, programas populares começaram a introduzir as chamadas “sandboxes” ou “caixas de areia”. São recursos que isolam o software do resto do sistema, impedindo que uma vulnerabilidade cause grandes danos. Pesquisadores, no entanto, já descobriram meios de burlar as proteções dos softwares da Adobe (Reader e Flash); o Modo Protegido do Internet Explorer é burlado frequentemente, e o Controle de Contas do Usuário também foi inutilizado.

O raciocínio que guia os “sandboxes” busca isolar o software dos demais programas ou recursos do sistema, impedindo que uma vulnerabilidade gere mais do que apenas o travamento do aplicativo vulnerável. Falhas graves permitem o que especialistas chamam de “execução de código” que, na prática, possibilita a instalação de vírus.

São falhas em reprodutores de mídia que permitem a existência de arquivos de áudio ou vídeo maliciosos, por exemplo. Áudio, vídeo e documentos são dados. Programas (e vírus) são código. Falhas de “execução de código” são aquelas em que o dado é lido como se fosse código, resultando na presença de um (possível) vírus onde nenhum deveria existir.

O sandbox busca limitar as capacidades desse código, caso ele seja executado, impedindo que ele interfira com o sistema ou acesse o disco rígido. Um sandbox muito usado é o do Java, que limita a capacidade de programas executados dentro do navegador web (applets). O sandbox do Java tem sido burlado por brechas de segurança e por erros na interface que não informam adequadamente o usuário a respeito do que vai acontecer quando ele realizar o “clique”.

Entre os navegadores web, o primeiro a adicionar algum tipo de isolamento foi o Internet Explorer com seu Modo Protegido. O Internet Explorer foi muito criticado pela existência dos controles ActiveX, semelhantes ao Java, e da facilidade com que eles podiam ser executados. O Modo Protegido e mudanças na interface dificultaram o trabalho de quem busca encontrar ou explorar falhas no navegador.

Em 2009 e 2010, a Adobe viu seus softwares no topo das listas dos mais explorados por sites maliciosos, posto que disputa com o Java, protegido por sandbox. Mesmo assim, a resposta da Adobe foi a mesma que (a já fracassada e atacada) solução do Java: adicionar sandbox.

Com isso, foi lançada a versão 10 do leitor de PDF Adobe Reader (Readex X) com uma sandbox. O Flash também já possui uma sandbox para impedir que um Flash remoto tenha as mesmas permissões de um Flash local (que pode ler arquivos do sistema operacional, mas não a rede e vice-versa).

Uma sandbox do Flash foi burlada recentemente. Um pesquisador mostrou que um dos protocolos aos quais um Flash local dá acesso pode permitir acesso à rede. Com isso, dados coletados do computador podem ser enviados para servidores de criminosos a partir de arquivos Flash – arquivos que são normalmente confiados para serem seguros.

O Chrome tem uma sandbox separada para o Flash. Ainda não há notícias de ataques a esse recurso. O Google aposta em sandboxes há bastante tempo. Em 2007, adquiriu uma empresa especializada nesse tipo de tecnologia, a GreenBorder.

O pesquisador de segurança Richard Johnson postou em seu Twitter que descobriu meios de burlar a sandbox do Reader e que planeja apresentar seu trabalho na conferência de segurança CanSecWest, em Vancouver, no Canadá. Mais detalhes não foram fornecidos, mas o especialista afirmou “estar se perguntando quantas pessoas estão querendo dar a mesma palestra”, indicando que outros especialistas já poderiam ter descoberto a mesma falha.

A Microsoft, para permitir uma transição fácil entre contas de usuário e administrativas no Windows, criou o Controle de Contas de Usuário (UAC), que isola a conta de usuário até que seja confirmada a necessidade de direitos administrativos para a tarefa desejada. Isso foi feito para não configurar os usuários diretamente em contas limitadas, o que causaria problemas.

O UAC, no entanto, também foi burlado e agora já existe um módulo na ferramenta de segurança Metasploit que permite a qualquer um atacá-lo facilmente.

Sandboxes têm um preço caro em conveniência do usuário e no consumo de recursos. No Windows Vista, no qual o UAC foi usado pela primeira vez, executar arquivos muito grandes causa um atraso considerável para que o UAC determine se precisa entrar em ação ou não, por exemplo.

Apesar disso, o isolamento mostra não ser substituto para uma segurança adequada. Se você usa o Windows Vista ou 7 e pode usar uma conta limitada, use-a. Não confie no UAC para criar limites artificiais, como também não há motivo para acreditar que uma sandbox será capaz de resolver todos os nossos problemas de segurança. Isso inclui ferramentas de sandbox oferecidas por terceiros.

No entanto, é fato que a proliferação de sandboxes aponta para uma crença de que elas sejam o remédio ideal para qualquer problema. Já foi possível perceber que não é bem assim. Se os custos em hardware e incômodos das sandboxes irão valer a pena, ainda é algo a ser descoberto.