7Jul
Em um mundo perfeito, não haveria nenhuma maneira para o seu computador ser infectado através do seu navegador. Os navegadores devem executar páginas da Web em uma caixa de areia não confiável, isolando-as do resto do seu computador. Infelizmente, isso nem sempre acontece. Os sites
podem usar buracos de segurança em navegadores ou plugins do navegador para escapar dessas sandboxes. Sites maliciosos também tentarão usar táticas de engenharia social para enganá-lo.
Insecure Browser Plugins
A maioria das pessoas comprometidas através dos navegadores são comprometidas através dos plugins dos navegadores. Oracle Java é o pior e mais perigoso culpado. A Apple e o Facebook recentemente tiveram computadores internos comprometidos porque acessaram sites que contêm miniaplicações Java mal-intencionadas. Seus plugins Java poderiam ter sido completamente atualizados - não importa, porque as versões mais recentes do Java ainda possuem vulnerabilidades de segurança não corrigidas.
Para se proteger, você deve desinstalar completamente o Java. Se você não pode, porque você precisa de Java para uma aplicação desktop como o Minecraft, você deve pelo menos desativar o plugin do navegador Java para se proteger.
Outros plugins do navegador, particularmente os plugins do Adobe Flash Player e do leitor de PDF, também têm que corrigir vulnerabilidades de segurança regularmente. A Adobe tornou-se melhor do que a Oracle em responder a esses problemas e corrigir seus plugins, mas ainda é comum ouvir sobre uma nova vulnerabilidade Flash que está sendo explorada.
Plugins são alvos suculentos. Vulnerabilidades em plugins podem ser exploradas em todos os navegadores diferentes com o plugin em todos os sistemas operacionais diferentes. Uma vulnerabilidade do plugin Flash pode ser usada para explorar o Chrome, o Firefox ou o Internet Explorer em execução no Windows, Linux ou Mac.
Para se proteger das vulnerabilidades do plugin, siga estas etapas:
- Use um site como a verificação do plugin do Firefox para ver se você possui plugins desatualizados.(Este site foi criado pela Mozilla, mas também funciona com o Chrome e outros navegadores.)
- Atualize imediatamente todos os plugins desatualizados. Mantenha-os atualizados garantindo atualizações automáticas ativadas para cada plugin que você instalou.
- Desinstale os plugins que você não usa. Se você não usar o plugin Java, não deve instalá-lo. Isso ajuda a reduzir sua "superfície de ataque" - a quantidade de software que seu computador está disponível para ser explorado.
- Considere usar o recurso de plug-ins clique-para-jogar no Chrome ou no Firefox, o que evita a execução de plugins, exceto quando você os solicita especificamente.
- Verifique se você está usando um antivírus em seu computador. Esta é a última linha de defesa contra uma vulnerabilidade "zero-day"( uma nova vulnerabilidade não reproduzida) em um plugin que permite que um invasor instale softwares mal-intencionados em sua máquina.
Buracos de segurança do navegador
As vulnerabilidades de segurança nos próprios navegadores da Web também podem permitir que sites mal-intencionados comprometam seu computador. Os navegadores da Web limparam em grande parte o seu ato e as vulnerabilidades de segurança nos plugins são atualmente a principal fonte de compromissos.
No entanto, você deve manter seu navegador atualizado de qualquer maneira. Se você estiver usando uma versão antiga e não editada do Internet Explorer 6 e você visitar um site menos respeitável, o site pode explorar vulnerabilidades de segurança em seu navegador para instalar software mal-intencionado sem sua permissão.
Proteger-se das vulnerabilidades de segurança do navegador é simples:
- Mantenha seu navegador da Web atualizado. Todos os principais navegadores agora verificam se há atualizações automaticamente. Deixe o recurso de atualização automática ativado para ficar protegido.(O Internet Explorer atualiza-se através do Windows Update. Se você usa o Internet Explorer, a atualização permanente das atualizações para o Windows é importante.)
- Certifique-se de que esteja executando um antivírus em seu computador. Tal como acontece com os plugins, esta é a última linha de defesa contra uma vulnerabilidade de dia zero em um navegador que permite que o malware entre no seu computador.
Truques de engenharia social
Páginas maliciosas tentam enganá-lo para baixar e executar malwares. Eles costumam fazer isso usando "engenharia social" - em outras palavras, eles tentam comprometer seu sistema, convencendo-o a deixá-los sob pretextos falsos, não comprometendo seu navegador ou plugins eles mesmos.
Este tipo de compromisso não se limita apenas ao seu navegador web - mensagens de email mal-intencionadas também podem tentar enganá-lo para abrir anexos inseguros ou baixar arquivos inseguros. No entanto, muitas pessoas estão infectadas com tudo, desde adware e ferramentas de navegador desagradáveis para vírus e trojans através de truques de engenharia social que ocorrem em seus navegadores.
- Controles ActiveX : o Internet Explorer usa controles ActiveX para seus plugins de navegador. Qualquer site pode solicitar que você baixe um controle ActiveX.Isso pode ser legítimo - por exemplo, você pode precisar baixar o controle ActiveX do Flash Player na primeira vez que você toca um vídeo Flash em linha. No entanto, os controles ActiveX são como qualquer outro software em seu sistema e têm permissão para deixar o navegador da Web e acessar o resto do seu sistema. Um site malicioso que pressiona um controle ActiveX perigoso pode dizer que o controle é necessário para acessar algum conteúdo, mas pode realmente existir para infectar seu computador. Em caso de dúvida, não concorde em executar um controle ActiveX.
- Auto-download de arquivos : um site mal-intencionado pode tentar baixar automaticamente um arquivo EXE ou outro tipo de arquivo perigoso no seu computador na esperança de que você o execute. Se você não solicitou especificamente um download e não sabe o que é, não faça o download de um arquivo que apareça automaticamente e lhe pergunte onde salvá-lo.
- Fake Download Links : Em sites com redes de anúncios ruins - ou sites onde o conteúdo pirateado é encontrado - você verá frequentemente anúncios imitando botões de download. Esses anúncios tentam enganar as pessoas para fazer o download de algo que não estão procurando por disfarçar como um link de download real. Há uma boa chance de links, como este, conter malware.
- "Você precisa de um plugin para assistir este vídeo" : Se você tropeçar em um site que diz que precisa instalar um novo plug-in ou codec para reproduzir um vídeo, fique atento. Você pode precisar de um novo plugin de navegador para algumas coisas - por exemplo, você precisa do plugin Silverlight da Microsoft para reproduzir vídeos no Netflix - mas se você estiver em um site menos respeitável que queira baixar e executar um arquivo EXE para que você possa jogarseus vídeos, há uma boa chance de tentar infectar seu computador com software malicioso.
- "Seu computador está infectado" : Você pode ver anúncios dizendo que seu computador está infectado e insistiu que você precisa baixar um arquivo EXE para limpar as coisas. Se você baixar este arquivo EXE e executá-lo, seu computador provavelmente será infectado.
Esta não é uma lista exaustiva. Pessoas mal-intencionadas estão constantemente atentas para novas maneiras de enganar as pessoas.
Como sempre, a execução de um antivírus pode ajudar a protegê-lo se você baixar acidentalmente um programa mal-intencionado.
Estas são as maneiras pelas quais o usuário médio do computador( e até mesmo os funcionários do Facebook e da Apple) tem seus computadores "pirateados" por meio de seus navegadores. O conhecimento é poder, e essa informação deve ajudá-lo a se proteger on-line.