Navegação verdadeiramente isolada: a chave para proteger sua rede

Existem muitas soluções usadas para navegação isolada, como: bloqueio de anúncios, compartimentação e navegadores proprietários. Mas estes não foram bons o suficiente para alcançar uma verdadeira navegação isolada. Aqui está o motivo pelo qual o isolamento remoto do navegador é a resposta.

Desde que os primeiros anúncios pop-up começaram a aparecer no tripod.com no final da década de 1990, os usuários tiveram que contar com um fato inquietante: o que eles veem na internet pode tocar seus computadores.

No começo, isso era um incômodo. Você visita um site um dia e, de repente, o conteúdo que está tentando ler é obscurecido por uma janela que você não abriu anunciando um produto no qual não está interessado. Irritante, mas não é motivo de alarme.

Em 2008, esses pop-ups evoluíram para uma ameaça. A publicidade maliciosa, muitas vezes veiculada por meio de pop-ups, começou a aparecer na internet pela primeira vez nesta era. Além de exibir anúncios em seu navegador, o malvertising cooptaria seus mecanismos para baixar adware e spyware em seu computador. Desde então, o malvertising e outros ataques baseados em navegador se tornaram uma enorme ameaça econômica.

Nessa época, as pessoas começaram a pensar seriamente sobre a navegação isolada. Como você executa um navegador de forma que arquivos maliciosos não passem da Internet para o disco rígido do usuário? Muitas ideias foram propostas, mas nenhuma delas forneceu proteção completa com a conveniência que os usuários precisam - até agora.

O que já foi tentado em termos de navegação isolada?

Você ficaria surpreso com o número de ideias que já foram tentadas para desconectar seu navegador do sistema operacional em geral. Por exemplo, o bloqueio de anúncios – sim, a extensão gratuita que você provavelmente está executando agora – é uma forma de isolamento do navegador. O bloqueio de anúncios e outras formas de isolamento do navegador são eficazes até certo ponto, mas normalmente quanto mais eficazes, menos convenientes se tornam.

Bloqueio de anúncios

Embora existam muitos provedores de anúncios por aí, a maioria foi catalogada. Os bloqueadores de anúncios colocam esses provedores em uma lista negra. Quando um script em um site tenta carregar conteúdo de um host pertencente a uma empresa de publicidade, o adblocker o bloqueia.

Essa técnica é relativamente eficaz para se livrar de anúncios, e qualquer técnica que elimine anúncios também bloqueará o malvertising. No entanto, os anúncios não são o único perigo baseado em navegador. Além disso, tanto os provedores de anúncios quanto os hackers são persistentes. Empresas como o Facebook estão constantemente mudando suas plataformas para tornar os anúncios indistinguíveis do conteúdo normal, enganando os bloqueadores de anúncios. Outras empresas de publicidade dividem seus anúncios por meio de várias CDNs anônimas para dificultar o bloqueio de seus anúncios. Essas técnicas também podem inspirar hackers. Uma campanha de malvertising conhecida como Rough Ted infectou recentemente milhares de usuários usando diversos tipos de tráfego para contornar listas negras de bloqueadores de anúncios.

Isolamento do local

O isolamento de guia local – às vezes conhecido como isolamento de site – é um recurso integrado a todas as versões do navegador Chrome desde 2018. Esse processo executa cada guia do navegador em um processo de navegador separado. Isso significa que sites maliciosos não podem infectar seu navegador e usar seus dados de sessão para bisbilhotar o conteúdo de suas outras guias. Em outras palavras, um invasor não pode se infiltrar em seu boletim esportivo favorito para pegá-lo na próxima vez que você fizer login em sua conta bancária.

Esse método é mais eficaz do que o bloqueio de anúncios, mas tem algumas desvantagens. Por exemplo, executar um novo processo para cada guia em seu navegador adiciona até 15% em uso de memória adicional – em outras palavras, isso pode deixar seu navegador e seu computador mais lentos.

O isolamento de guias não é infalível. Ele foi criado para impedir explorações devastadoras como Meltdown e Spectre e, como tal, esse recurso de segurança ignora ataques como malvertising e downloads drive-by. Além disso, mesmo que as guias estejam isoladas, seu navegador ainda permanece no seu computador. Não há barreira entre seu computador e o próprio navegador, o que significa que softwares maliciosos ainda podem vazar em seu sistema operacional.

Compartimentalização

Isso envolve a execução do navegador em um contêiner, máquina virtual ou partição separada do disco rígido. Mesmo que um vírus entre no navegador, segundo a teoria, ele se encontrará dentro do que é essencialmente um computador Potemkin – um fragmento do sistema operacional que não tem acesso direto aos arquivos na máquina.

Há dois problemas com esta abordagem, infelizmente. A primeira é que isso é cada vez mais difícil de configurar do que baixar um bloqueador de anúncios ou executar uma extensão do navegador. Configurá-lo requer TI. Embora isso não seja ruim por si só, o esforço que a TI faz deve garantir que o navegador permaneça seguro. No entanto, esse não é exatamente o caso – devido a vulnerabilidades subjacentes na VM e no software de contêiner, os vírus podem, e muitas vezes, invadir e infectar o host subjacente.

Navegadores proprietários

Os fornecedores ocasionalmente criam seus próprios navegadores proprietários que são supostamente mais seguros do que os comuns. Não vamos gastar muito tempo abordando isso – apenas observaremos que, mesmo quando os recursos de segurança elogiados desses navegadores funcionam, eles contêm uniformemente erros de UI e UX que fazem com que os usuários da linha de frente se rebelem. Isso é especialmente verdadeiro nos casos em que o usuário está trazendo seu próprio dispositivo para o escritório – você está basicamente pedindo que ele não use seu navegador preferido em uma máquina que ele mesmo comprou.

Por que o isolamento remoto do navegador é a resposta

Proteger seu computador do seu navegador pode parecer um cenário sem saída – mas nem tudo foi tentado. Isolamento de navegador remoto (RBI) leva o conceito de isolamento de navegador e leva-o ao seu extremo mais eficaz.

Com o RBI, você abre seu navegador para navegar na internet normalmente. Nos bastidores, seu navegador entra em contato com um aplicativo remoto – que por acaso é outro navegador, localizado na nuvem. Seu navegador exibe tudo o que o navegador remoto renderiza, com total interatividade, mas nada do navegador remoto é baixado em seu computador.

Este é um ótimo sistema para navegação segura. Embora o navegador remoto ainda tenha a chance de baixar malware, esse malware acaba em um contêiner que nem está na sua rede. Mesmo que o malware escape de seu contêiner ou VM e infecte o host, você ainda não terá problemas – o host ainda não está em sua rede e não contém nenhum dos seus dados. Sob o modelo de responsabilidade compartilhada para aplicativos SaaS, proteger o host nem é problema seu para se preocupar.

O RBI oferece todas as vantagens da navegação isolada sem nenhum dos riscos – e também elimina o esforço e as despesas de instalação e manutenção de uma implementação de navegação isolada no local. Os usuários podem continuar usando os navegadores que quiserem, não precisam instalar nenhum hardware ou software em seus dispositivos e podem permanecer protegidos independentemente dos sites que visitam. Em suma, a navegação isolada faz sentido quando se trata de proteger os usuários comuns de uma internet caótica.