segunda-feira, 19 de setembro de 2011

Google lança recurso no Chrome que deve desafiar a segurança do browser

'Native Client' executa programas e até jogos como 'Quake'.
Segurança pode ser decisiva para sucesso do Chrome OS.

Altieres Rohr Especial para o G1*
Header Coluna Altieres - Segurança Digital (novo nome - ATENÇÃO) - VALE ESSE - ULTIMO - FINAL (Foto: Editoria de Arte/G1)
O Google lançou a versão 14 do navegador Chrome e, com ela, o plugin “Native Client”, que está pela primeira vez ativado por padrão. O plugin tenta realizar uma tarefa corajosa: permitir que aplicativos “normais” de computador sejam executados com alto desempenho, dentro do navegador web, mas sem a capacidade de afetar negativamente o sistema operacional. Porém, o perigo existe, tanto que o Google limitou a execução do plugin aos aplicativos aprovados no "Chrome Web Store".
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Alone in the Dark, jogo de 1992 rodando em um emulador de MS-DOS dentro do Native Client (Foto: Reprodução)Alone in the Dark, jogo de 1992 rodando em um
emulador de MS-DOS dentro do Native Client (Foto: Reprodução)
O Native Client é abreviado como “NaCl” em referência ao cloreto de sódio (sal de cozinha). Ele está traduzido no Chrome em português para “Cliente Nativo”.
A tecnologia permite que aplicativos “normais” (“nativos”) sejam executados dentro do navegador. Programadores já conseguiram fazer funcionar até o emulador DOSBox, que serve para executar softwares de MS-DOS. Isso permite que jogos clássicos sejam executados dentro do navegador. Porém, o “NaClBox”, como é chamado, não está disponível na loja oficial do Google.O clássico jogo de tiro “Quake” também pode ser executado dentro do Chrome por meio do NaCl. Além de o software ser executado dentro do navegador, ele pode interagir com a página de internet, abrindo novas possibilidades para desenvolvedores de sites. Isso parece, a princípio, um pesadelo para a segurança do navegador.Para conseguir executar esses códigos de forma segura, o Native Client faz uso de tecnologias de isolamento para impedir que softwares acessem certas partes da memória. Esse tipo de função é conhecida como “sandbox”. Caso uma brecha no Native Client permita a um aplicativo “escapar” desse isolamento, ele poderá realizar alterações permanentes no computador do internauta – o que pode significar a instalação de um vírus.Sabendo disso, o Google organizou em 2009 uma competição para que pesquisadores encontrassem falhas no Native Client, já sinalizando a importância do software para a empresa. Várias brechas foram identificadas pelos competidores e corrigidas pelo Google.
Tela do Chrome para ativar o Native Client em todos os sites da internet. “Esses experimentos podem morder” (Foto: Reprodução)Tela do Chrome para ativar o Native Client em
todos os sites da internet. “Esses experimentos podem morder” (Foto: Reprodução)
O desafio do Google é manter o Native Client seguro e a Chrome Web Store livre de aplicativos indesejados – o que não tem acontecido, por exemplo, no Android Market. No entanto, o Native Client tem uma proteção a mais que o Android, visto que os programas no Native Client não são executados diretamente no sistema, e sim no ambiente isolado do navegador.O sucesso do Native Client será ainda mais importante para o Chrome OS – sistema operacional do Google usado nos Chromebooks. O Chrome OS funciona inteiramente na web: seu sistema de segurança é baseado na ideia de que o usuário não poderá rodar aplicativos no sistema. Um problema no Native Client, porém, poderia comprometer essa segurança.
O que o Google tem feito corretamenteO isolamento fornecido pelo Chrome e pelo Native Client tem até o momento se mostrado de alta qualidade. O código fonte do Native Client está disponível, permitindo que muitas pessoas o estudem e forneçam informações sobre falhas ao Google. Colocar o Native Client à disposição de especialistas para pesquisa de falhas também foi uma decisão acertada.Finalmente, restringir os aplicativos de Native Client para aqueles autorizados na Chrome Web Store reduz muito as possibilidades de ataque.
Cuidados
O Native Client pode ser habilitado para ser executado em qualquer site de internet. Páginas maliciosas poderiam tirar proveito disso para tentar convencer o usuário a habilitar o plugin, oferecendo um jogo, vídeo ou outro recurso como isca. Usuários devem evitar habilitar o Native Client e também devem lembrar de desativá-lo caso o utilizem em um site seguro e que não foi autorizado no Chrome Web Store.
Não fazer isso poderá deixar o navegador aberto para ataques. Mas isso só será uma preocupação caso muitos sites fora da Chrome Web Store venham a utilizar o Native Client, forçando internautas a ativarem o recurso.

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades.

Nenhum comentário:

Postar um comentário

LinkWithin

Related Posts Plugin for WordPress, Blogger...