O impulso do Google para criptografar anúncios melhorará a segurança, mas não eliminará anúncios maliciosos

No entanto, os ataques de publicidade maliciosa que direcionam os usuários para exploits baseados na Web ainda serão possíveis e, por causa da nova criptografia, será realmente mais difícil para os pesquisadores de segurança identificar sua origem. O Google anunciou que dará mais peso aos sites habilitados para HTTPS nos rankings de busca, a fim de encorajar a adoção da criptografia em toda a web. HTTPS (HTTP Secure) permite a comunicação na Web através de um canal criptografado com o protocolo TLS (Transport Layer Security)

[Leia mais: Como remover malware do seu PC com Windows]

Um de seus principais benefícios é que ele impede o tráfego seja lido ou modificado por alguém em posição de interceptar os hackers no controle de um roteador ou rondando uma rede sem fio insegura, funcionários desonestos do ISP ou uma agência do governo espionando o backbone da Internet.

Um grande problema Os webmasters têm com a implementação de HTTPS não é o custo de comprar certificados digitais, mas o fato de que seus sites carregam recursos - principalmente anúncios - de terceiros que não os veiculam por HTTPS. Carregar recursos não criptografados em sites HTTPS levará a avisos de conteúdo misto nos navegadores e, em primeiro lugar, cancelará os benefícios de segurança de permitir HTTPS.

Nesse contexto, os esforços do Google para iniciar a criptografia do tráfego de anúncios facilitarão a transição para o HTTPS muitos sites, aumentando, portanto, a privacidade e a segurança na Web.

Até 30 de junho deste ano, o Google criptografará a "grande maioria" de anúncios gráficos para dispositivos móveis, vídeo e computadores exibidos na Rede de Display do Google, na AdMob e Editores da DoubleClick, a empresa disse sexta-feira em um post no blog. Até esta data, os anunciantes que usam qualquer uma das plataformas de compra do Google, incluindo o Google AdWords e a DoubleClick, também poderão exibir "anúncios gráficos criptografados com HTTPS para todos os inventários habilitados para HTTPS".

O tráfego de publicidade com criptografia para dispositivos móveis protegerá contra alguns ataques man-in-the-middle que os pesquisadores têm alertado há anos, onde os invasores poderiam injetar códigos maliciosos no tráfego publicitário para abusar das permissões dos aplicativos que exibem os anúncios.

Ele também protegerá contra ataques de injeção de camada de rede, por exemplo, através de roteadores comprometidos. No entanto, isso não impedirá que programas adware instalados localmente, como o Superfish, ou ameaças de malware exibam anúncios não autorizados em sites HTTPS abertos no navegador local.

É claro que, para que a criptografia tenha um impacto verdadeiramente de grande escala, A indústria de publicidade precisa se juntar ao esforço.

De acordo com o Interactive Advertising Bureau (IAB), uma grande associação do setor de publicidade, quase 80% das plataformas de entrega de anúncios de seus membros oferecem suporte a HTTPS. No entanto, suporte e uso real são duas coisas diferentes. Para que os anúncios sejam entregues em um site por HTTPS, não é suficiente que o servidor de anúncios principal do site ofereça suporte à criptografia. Há muita coisa que também precisa acontecer na complicada cadeia de suprimentos de publicidade.

“Esse servidor de anúncios precisará incluir tags de segurança da marca, medição de audiência e visibilidade e outras ferramentas - e todas elas também precisam oferecer suporte à criptografia. ”, Explicou o diretor de Normas Técnicas da IAB, Brendan Riordan-Butterworth, em um post em março de 2009.

O servidor de anúncios da editora geralmente direciona para um dos vários servidores de anúncios da agência, cada um deles também precisará ser veiculado por HTTPS. “Cada servidor de anúncios de agência também pode incluir uma variedade de beacons ou tags, dependendo de como a transação foi configurada, e todos precisam igualmente ter versões criptografadas disponíveis”, escreveu ele.E simplesmente criptografar o tráfego não impedirá ataques malvertising, que representam o maior risco para os usuários. São ataques em que criminosos conseguem empurrar anúncios invasores para uma rede de publicidade, de modo que, quando esses anúncios são exibidos em sites populares, eles redirecionam os navegadores dos usuários para os servidores que hospedam exploits. Se bem-sucedidos, essas explorações instalam programas de malware em seus computadores.

O Google teve de lidar com pelo menos dois ataques malvertising em sua rede DoubleClick nas últimas duas semanas. Em um desses casos, pesquisadores da empresa de segurança holandesa Fox-IT rastrearam os anúncios maliciosos para um revendedor búlgaro de serviços de publicidade do Google cujos sistemas eles acreditavam estarem comprometidos.

Mesmo que esse revendedor tivesse veiculado anúncios via HTTPS, não o faria. Isso impediu que invasores com acesso a sua plataforma de anúncios empurrassem anúncios maliciosos para a rede do Google, disse o pesquisador da Fox-IT Maarten van Dantzig na segunda-feira. Além disso, se o tráfego de anúncios tivesse sido criptografado, a Fox-IT não teria conseguido identificar a campanha publicitária ofensiva e rastreá-la até a empresa búlgara, disse ele.

Embora o pesquisador tenha concordado que a decisão do Google de criptografar o tráfego geralmente é bom para a segurança e a privacidade de todos - toda a rede deve ser criptografada, ele disse - a mudança tem desvantagens; por um lado, diminui a visibilidade dos defensores de rede.

Por exemplo, um dispositivo de segurança de rede não poderá detectar e bloquear códigos maliciosos ocultos dentro do tráfego de publicidade criptografada, a menos que o dispositivo esteja configurado para atuar também como um proxy de interceptação HTTPS. - descriptografar e criptografar novamente o tráfego com um certificado de autoridade de certificação autoassinado implantado em todos os pontos de extremidade. Muitas empresas ainda não têm essa configuração.

Os anúncios maliciosos geralmente redirecionam os navegadores para explorações baseadas na Web hospedadas em servidores não HTTPS, portanto, os dispositivos de rede podem realmente detectar e bloquear as explorações sozinhos. No entanto, pesquisadores ou analistas de segurança de rede que investigam tais incidentes não poderão ver qual anúncio específico o acionou.

Com menos visibilidade para os pesquisadores de segurança, as redes de publicidade precisarão identificar os anúncios não autorizados por conta própria, disse van Dantzig.

Ele não tinha certeza se muitos deles estão prontos para fazer isso.