Postagem em destaque

Como iniciar a sua carreira de Segurança da Informação?

Planejamento para se tornar um Analista de Segurança da Informação. Monte o Seu. Após um pouco de pesquisa sobre o tema e conversad...

Windows XP sem riscos? Só se você largar do IE, dizem especialistas

Segundo estudo de experts em segurança, a maior parte das falhas críticas do sistema operacional estão no browser e os hackers terão mais facilidade em explora-las

Se trocarem seu navegador de internet por um browser que não seja da Microsoft, os usuários do Windows XP ainda poderão se esquivar de um grande número de vulnerabilidades de segurança que pertencem ao decano - e aposentado - sistema operacional da Microsoft, mesmo com a empresa cessando o programa de correção de falhas para o XP desde 8 de abril de 2014.

Segundo especialistas em segurança, trocar o Internet Explorer por outro browser permite aos usuários do XP escapar de vários ataques desferidos contra seus PCs, porque os cibercriminosos tentam a invasão por meio da falha do navegador.

Após analisar as falhas e correções (patch) que a Microsoft liberou ao longo do segundo semestre de 2013, os especialistas dizem que as vulnerabilidades críticas encontradas e corrigidas entre julho e dezembro de 2013 mostram que a maior parte dos problemas do XP está no browser, e não no sistema operacional. A palavra "crítica" é indicativa para a Microsoft de uma falha verdadeiramente séria, que os hackers que tiverem sucesso em explorá-la podem realmente invadir um PC e plantar um programa malicioso em seu disco.

Durante os seis meses avaliados, a Microsoft corrigiu 19 diferentes vulnerabilidades críticas nos navegadores IE6, IE7 e IE8 que rodam no Windows XP. Nesse mesmo período, a Microsoft corrigiu 16 vulnerabilidades críticas no Windows XP sendo que, desse total, apenas uma não pertencia ao Windows 7 ou Windows 8 ou a ambos. Note que essa informação é a mais importante.

Das 16 falhas do Windows XP que foram corrigidas em 2013, 14 também existiam no Windows 7 e Windows 8, uma existia também no Windows 7 e só uma pertencia apenas ao XP.


Engenharia reversa

Os experts em segurança, incluindo os que trabalham para a Microsoft, preveem que a partir de abril os hackers vão analisar as correções liberadas para as versões mais novas dos sistemas operacionais da Microsoft para descobrir por "engenharia reversa" as falhas do XP, já que ele não mais vai receber correções.

Para descobrir onde está a falha, os cibercriminosos realizam um trabalho de comparação de código "antes e depois" da correção. Supondo por exemplo que eles identifiquem uma falha do Windows 7, que vai ser corrigida pela Microsoft, eles vão aplicar a mesma engenharia reversa para ver se a falha também está dentro do código do XP. Se estiver, é uma porta direta de entrada para os PCs rodando o XP que estão desprotegidos.

Mas, se as estatísticas de 2013 valerem para 2014, os criminosos vão ter menos trabalho para invadir o Windows XP localizando os bugs no IE, já que o IE6, IE7 e IE8 vão continuar a ser corrigidos para as outras versões do Windows, do que se preocupando em fazer engenharia reversa do sistema operacional. Mesmo o  IE6, que foi lançado antes do Windows XP, ainda vai ganhar correções até julho de 2015, quando acontecerá a aposentadoria do Windows Server 2003.

A Microsoft no entanto não vê dessa forma tão simples o problema.

"Mudar de browser não vai mitigar o risco, já que a maioria das brechas usadas pelos ataques pertenciam ao sistema operacional", afirma Tim Rains, diretor do grupo Trustworthy Computing, da Microsoft.

O risco do browser

Mas os números apontam para o contrário, dizem os especialistas que não trabalham para a Microsoft."Você não deveria estar usando o IE no XP", diz Michael Silver, analista do Gartner, em entrevista concedida ao Computerworld. "A única razão para usar o IE no XP é para acessar os sites internos da empresa."

Silver deu o conselho de "sem IE no XP" logo após a Microsoft ter liberado a correção da falha crítica em todas as versões do IE, em 1 de maio, para matar um bug que hackers já estariam explorando no navegador. A empresa corrigiu TODOS os browsers, incluindo os do XP, alegando que o problema tinha aparecido apenas algumas semanas após a aposentadoria do XP e pressionada por uma reação do mercado que incluiu a recomendação do governo americano para que os usuários aposentassem o IE enquanto a falha não fosse corrigida.

"Para muitas empresas, outra lição aprendida com o primeiro de maio é que os usuários estão bem confortáveis em usar vários browsers e já não se apegam a um só", disse John Pescatore, diretor de tendências de segurança do SANS Institute.

A Google anunciou que vai continuar a corrigir o Chrome para o XP até pelo menos abril de 2015 e tanto a Mozilla quanto a Opera Software também pretendem manter o suporte.