Diga-me o que você acha do Adobe Flash que eu lhe direi se você trabalha com cibersegurança. Para a maioria das pessoas, o Adobe é algo que seu navegador precisa na hora de executar um vídeo. O pessoal mais ligado em segurança conhece a fama do programa em carregar muitas vulnerabilidades.
Na verdade, o Adobe Flash liderou nossa lista dos programas com mais exploits de 2015. Você ainda encontrará outros nomes famosos próximos ao topo, como o Java, o Adobe Reader, Microsoft Office e Silverlight. Mas nada que se compare ao Flash, com sua grande popularidade e presença de vulnerabilidades, e claro com as atualizações nem um pouco frequentes.
Tendo isso em mente, é um prazer anunciar que a Kaspersky Lab obteve a patente para uma tecnologia particularmente efetiva no combate do tipo de exploits que afetam o Flash em particular.
O que os exploits no Flash tem de diferente?
Mesmo respondendo de maneira simples, precisamos entrar um pouquinho na história. Basicamente, existem duas formas de infectar um PC. O primeiro método necessita do seu envolvimento direto, por meio do download e execução de um programa, abertura de documentos com macros maliciosas, acessar um link infectado, entre outros similares.
O segundo método não requer que você participe. Nesse cenário, cibercriminosos encontram vulnerabilidades em seu sistema operacional ou em um de seus programas. Se o navegador possui uma falha, por exemplo, acessar uma página infectada pode ser suficiente. (Leitores frequentes do Kaspersky Daily não estranharão o fato de que páginas como essas são bem abundantes).
Melhor proteção #antipshishing? Veja o teste da AV-Comparatives | https://t.co/K8bQIEFiOh pic.twitter.com/aew8hMJk8p
— Kaspersky Brasil (@Kasperskybrasil) August 2, 2016
A forma mais fácil de se infectar um PC é pela internet, de modo que exploits em sites são muito populares entre cibercriminosos. O alvo nesse caso não é necessariamente o navegador, a porta de entrada é pelo Java ou pelo Adobe Flash Player, responsáveis por execução multimídia nas páginas.
Pense nos vídeos do Flash não como em arquivos abertos por um programa, mas em um programa de fato. Eles são baixados juntamente com outros conteúdos do site, sendo executados separadamente com o auxílio de um componente do Adobe Flash Player instalado no sistema. Contudo, o processo é um pouco mais complexo. Para executar esses programas de maneira segura, o Adobe Flash os executa em seu próprio ambiente virtual, ou seja, esses programas serão rodados em um computador simulado dentro do seu computador.
Então a máquina virtual torna o Flash seguro?
O Flash executa os arquivos em um ambiente virtual protegido por conta do risco de execução de códigos de tudo quanto é lugar da internet. A execução de códigos em máquina virtual significa que caso algum código baixado da internet tente fazer qualquer coisa com seu computador, ele não poderá acessar seus documentos, arquivos ou componentes críticos do sistema. Infelizmente, isso é verdade apenas em teoria – na prática, exploits podem burlar as medidas de segurança do Flash (como a virtualização) por meio das vulnerabilidades no Adobe Flash.
Existe ainda outro problema: a própria natureza dos arquivos Flash e da máquina virtual criam um ambiente favorável ao ocultamento de autores de ameaças. Ainda é possível que hackers criem arquivos personalizados para cada vítima.
Isso representa um problema para detecção antivírus tradicional, que lança mão de listas imensas de arquivos para detectar malwares. Esse exército de exploits funcionam da mesma forma, mas para uma solução de segurança eles são completamente diferentes. Além do mais, programas do Adobe Flash podem ser escritos em três linguagens de programação distintas, o que aumenta a complexidade da tarefa de distinguir esses conteúdos maliciosos de programas legítimos do Flash.
Como as empresas podem sofrer ataques de #ciberespionagem | https://t.co/D4Q8aFMvVQ #guiagratuito pic.twitter.com/Ns4dOi9Wo4
— Kaspersky Brasil (@Kasperskybrasil) July 29, 2016
Se não dá para confiar nos nomes dos arquivos e o ambiente virtual não é seguro, o que pode ser feito?
Essa pergunta tem estado presente na comunidade de segurança da informação por bastante tempo. Precisávamos de uma forma de identificar a natureza maliciosa dos códigos antes de serem executados. Em teoria, poderíamos executar o programa em nossa própria máquina virtual antes de precisar do Adobe Flash, mas essa abordagem é muito complexa e dispendiosa para aplicações cotidianas. Mesmo que leve apenas uma fração de segundo, as pessoas estão acostumadas a satisfação instantânea online.
Se parece um exploit…
É aí que a nova tecnologia da Kaspersky Lab entra em ação. Criada por Anton Ivanov e Alexander Liskin e baseando-se na emulação de códigos suspeitos, nosso método leva menos tempo para analisar diversos objetos similares com diferenças pequenas. Os desenvolvedores desse método usaram essa abordagem de uma empilhadeira virtual, com o objetivo de reunir informações sobre códigos ao invés de executá-los.
No fim, objetos maliciosos em Flash não precisam ser executados para terem sua natureza exposta. Mesmo modificações que desenvolvedores de malware introduzem por meio de diferenças para cada amostra não podem esconder suas intenções maliciosas caso nosso método seja aplicado.
No fim, a partir do momento que conhecemos um exploit do Flash, podemos bloquear automaticamente todos os malwares que usam o mesmo método. Assim que integramos essa tecnologia no Kaspersky Internet Security e no Kaspersky Total Security, nossa taxa de detecção para essas ameaças específicas dobrou.
Uma última informação, por motivos de perspectiva: empresas de antivírus esforçam-se muito para aumentar sua taxa de detecção em pequenas frações, portanto dobrar essa taxa é realmente impressionante.