Armazenar informações corporativas e pessoais, contas e arquivos em dispositivos separados é uma das dicas mais populares (e eficazes!) para segurança da informação. Muitas empresas definem isso como um requisito obrigatório para todos os funcionários. Uma extensão natural dessa política é proibir o compartilhamento de dados entre computadores domésticos e de trabalho, por meio de serviços como o Dropbox, por exemplo, e recomendar não registrar contas pessoais (por exemplo, em lojas online) para e-mail de trabalho. Frequentemente, nem os usuários nem os administradores consideram um outro local onde a casa e o trabalho se cruzam: as configurações do navegador da web.
Sugestões para habilitar a sincronização do navegador Chrome usando uma conta de nuvem do Google aparecem desde o primeiro dia e, de fato, o Chrome geralmente a habilita automaticamente depois que o usuário faz login no Gmail ou no Google Docs. No Firefox e no Edge, a sincronização é menos intrusiva, mas existe e é oferecida. À primeira vista, ter favoritos sincronizados é conveniente e não arriscado, mas é claro que os invasores aproveitam essa oportunidade.
Como a sincronização do navegador pode se tornar arriscada
Em primeiro lugar, seu perfil de nuvem contém muitas informações. Além de uma lista de favoritos e abas abertas, os navegadores também sincronizam senhas e extensões entre computadores. Portanto, os invasores que comprometem o computador doméstico de um funcionário podem obter acesso a várias senhas de trabalho. E se um usuário instalar uma extensão maliciosa em casa, ela aparecerá automaticamente no computador de trabalho. Estes não são ataques hipotéticos. Foi a sincronização de senha no Google Chrome que levou ao comprometimento da gigante de segurança da informação Cisco, enquanto extensões maliciosas disfarçadas de segurança corporativa foram usadas para roubar tokens de autenticação Oauth.
Em segundo lugar, extensões maliciosas podem ser usadas para exfiltração de dados de um computador infectado. Assim que o navegador Chrome se comunica com a infraestrutura legítima do Google aqui, um ataque pode durar muito tempo sem gerar avisos das defesas da rede.
Como proteger os computadores do escritório contra a sincronização do navegador
Os administradores de sistema precisam tomar várias medidas para enfrentar com eficácia a ameaça representada pela sincronização do navegador:
- Use navegadores que suportem configurações de política de segurança centralizadas (Google, Firefox)
- No nível da política de segurança, desabilite a sincronização de perfil
- Novamente no nível da política, proibir o armazenamento de senhas no navegador (é preferível um gerenciador de senhas especializado)
- Se necessário, limite a instalação de extensões de navegador a uma lista de extensões confiáveis ou formalize uma proibição completa
Por último, mas não menos importante, instrua os funcionários com bastante antecedência. Explique por que eles devem usar apenas navegadores corporativos e os motivos pelos quais eles não devem salvar senhas no navegador e sincronizar favoritos com seus computadores domésticos. Reserve algum tempo para adaptação e, em seguida, aplique as novas políticas. Se, por algum motivo, uma organização não puder implementar as melhores práticas de navegadores corporativos, o treinamento de funcionários continua sendo o único e principal meio de proteção.