quarta-feira, 17 de agosto de 2011

Pacotão de segurança: desative o Java para ficar mais seguro na web

Plugin é o mais atacado em navegadores de internet.Saiba por que isso acontece.

Altieres Rohr Especial para o G1*
Header Coluna Altieres - Segurança Digital (novo nome - ATENÇÃO) - VALE ESSE - ULTIMO - FINAL (Foto: Editoria de Arte/G1)
O Java é uma linguagem de programação que instala um plugin em navegadores de internet. Esse plugin é o mais atacado por sites maliciosos, segundo a Microsoft. A coluna Segurança Digital de hoje traz instruções atualizadas para desativá-lo e também uma longa explicação detalhando por que você deve fazer isso.
Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.
Desativando o Java
O Java tem um ícone no Painel de Controle e na opção “Avançado” há botões para desativar o Java no Internet Explorer e no Firefox. Mas não perca seu tempo. As opções não funcionam! Na verdade, elas funcionam, mas depende de fatores “misteriosos”, e simplesmente não dá para confiar no resultado.
Internet Explorer: (aperte a tecla ALT para ver o menu, se necessário) Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Selecione todas as opções do Java (usando SHIFT e CTRL, ou então uma de cada vez) e acione o botão Desabilitar. Reinicie o navegador. Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu rotulado “Mostrar” na parte esquerda da tela. (A opção “Desativar scripts de miniaplicativos Java”, nas zonas de segurança, também não funciona, apesar do nome).
Se o Java não estiver na lista, tente selecionar a opção para Mostrar todos os complementos (Foto: Reprodução)
Se o Java não estiver na lista, tente selecionar a opção para Mostrar todos os complementos (Foto: Reprodução)
Clique em Desativar em cada plugin relacionado ao Java listado no Firefox (Foto: Reprodução)Clique em 'Desativar' em cada plugin relacionado
ao Java listado no Firefox (Foto: Reprodução)
Firefox: Acesse o menu “Firefox” e então “Complementos”. Clique em “Desativar” em todas as opções relacionadas ao Java nos plugins.
Chrome: É preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativar.
Se o Java não estiver listado, ele não está instalado no PC. Não perca seu tempo instalando. Se você não sentiu falta, não precisa.
>>> Java e segurança
Sempre que a coluna Segurança Digital do G1 menciona os riscos do Java na internet, algum defensor da linguagem comenta com uma crítica ou comentário contrário à sugestão. Um exemplo:
Contradição essa propaganda repentina contra o Java, pois boa parte dos sistemas de banco, inclusive os de segurança, é baseada em Java. Não seria melhor limpar o cache de cookies ou usar navegação segura? Ou quem sabe, deletar o 'ursinho' da pasta system?
Maestro Bogs
O pacotão de hoje vai ser especial para responder essa questão. É preciso antes esclarecer o final do comentário do leitor.Existe um boato que circula na internet sobre um arquivo com um ícone de ursinho que seria um vírus. Esse arquivo é na realidade inofensivo e faz parte do Windows. Logo, o comentário final do leitor trata-se de uma tentativa de desmerecer a recomendação da coluna sobre desativar o Java, ligando a sugestão a um boato de internet.Mas esse não é o caso: desativar o Java ajuda, sim, na segurança da sua navegação. O Java é um software nada amigável para o usuário que possui falhas de segurança na programação e também na forma que ele é apresentado para o usuário. Vamos entender o problema.
Se o usuário não modificar a configuração, Java só procura atualizações uma vez por mês (Foto: Reprodução)Se o usuário não modificar a configuração,
Java só procura atualizações uma vez por mês (Foto: Reprodução)
O que é o Java
Java é uma linguagem de programação – ou seja, um conjunto de regras, instruções e outras ferramentas que permitem a criação de softwares de computador. Ela foi desenvolvida pela Sun Microsystems (hoje pertencente à Oracle) e lançada em 1995. Uma das características do Java é a capacidade de ser executado em qualquer sistema operacional. Normalmente, um programa precisa de ajustes ou mesmo de uma mudança completa para funcionar em cada sistema ou dispositivo.Existem outros detalhes técnicos, mas eles não são relevantes no momento. Importante, porém, é ressaltar que Java e Javascript são duas coisas completamente diferentes. Javascript é uma linguagem de programação muito limitada e que funciona dentro de páginas de internet. Java é uma linguagem de programação completa e que, por acaso, tem um recurso para ser executado dentro de navegadores.
Onde está o problema
Não existe nada de errado no Java em si – é apenas uma linguagem de programação como tantas outras. Não há problema nenhum em executar softwares em Java no PC.
O problema está em um “recurso” que permite a execução de applets – pequenos programas em Java – dentro do navegador de internet, que normalmente é incapaz de executar qualquer tipo de programa.
Os applets não têm nenhuma relação com o Java em si, ou seja, desativar os applets – a sugestão da coluna – não interfere com os programas em Java de verdade, apenas com as páginas de internet que usam o Java.
Os applets têm restrições, é claro. Eles não podem alterar arquivos no sistema. No entanto, essa “jaula” que impede a execução de funções especiais – chamada de sandbox (caixa de areia) – tem erros frequentes que permitem a applets “se libertarem” e acessarem todos os recursos do PC, permitindo a instalação de vírus. Detalhe: os vírus em si não são feitos em Java, após o código que instala o vírus é Java.
A janela que permite libertar um applet para realizar qualquer tarefa no PC fica por cima dos sites, atraindo a atenção do internauta (Foto: Reprodução)A janela que permite libertar um applet para realizar
qualquer tarefa no PC fica por cima dos sites,atraindo a atenção do internauta (Foto: Reprodução)
A Oracle – responsável pelo Java – conserta essas vulnerabilidades no sandbox. Mas aí há outro problema nos componentes auxiliares do Java. O software é incompetente na tarefa de avisar o usuário sobre a disponibilidade dessas melhorias de segurança. No Windows, ele precisa de direitos administrativos só para verificar a atualização – algo que só deveria ser necessário para instalar a atualização.
O ícone do “Java” no Painel de Controle não funciona como esperado e a opção para desativar o plugin nos navegadores está quebrada.Ele ainda vem configurado por padrão para verificar atualizações somente uma vez por mês. Compare com o Windows ou com qualquer antivírus, que busca atualizações diariamente. Isso significa que existe uma chance muito alta de uma versão insegura do Java estar em uso a qualquer momento.
Infeção em um clique
Supondo que você esteja com a versão mais nova do Java e que ela não apresente falhas de segurança, os problemas ainda não acabaram. Isso porque os applets Java, esses que executam dentro do navegador, ainda podem solicitar a “liberação” de todos os recursos. Essa tela tem apenas dois botões: “Executar” e “Cancelar”. Um clique no Executar e pronto: o computador está infectado.
O objetivo disso é dar mais flexibilidade e possibilidades aos programadores. Mas a forma como o recurso está colocado em prática não foi bem pensada.
Janela do ActiveX usava até o Windows XP SP2, em 2004. Um único clique em Sim era suficiente para infectar o PC (Foto: Reprodução)Janela do ActiveX usava até o Windows XP SP2,
em 2004. Um único clique em Sim era suficiente
para infectar o PC (Foto: Reprodução)
Lição de história
A história do Java se parece muito com uma polêmica antiga de segurança. O Internet Explorer foi bombardeado de críticas, principalmente entre os anos 2000 e 2004, devido ao recurso de instalação de ActiveX. A janela do ActiveX também permitia a instalação de componentes com um único clique: “sim” ou “não”. Na época, alguns usuários atribuíam esses problemas incorretamente ao Internet Explorer estar “atrelado ao Windows”.Mas o problema do Java consegue ser ainda maior que o do ActiveX. Vírus como ladrões de senhas bancárias nunca usaram o ActiveX – apenas softwares publicitários e outros tipos de lixo digital faziam uso da função. Isso porque o ActiveX exigia que os aplicativos a serem executados tivessem uma assinatura digital válida, que necessita o uso de uma empresa estabelecida para solicitar o certificado.
O Java é bem menos exigente. Ele trata um software sem identificação exatamente da mesma forma que um software identificado, exceto por uma pequena mudança de cor na tela e o texto “(NÃO VERIFICADO)”. Um ActiveX não-assinado simplesmente não existe para o Internet Explorer na configuração de fábrica do navegador.
Em 2004, o lançamento do Windows XP SP2 mudou completamente a forma de instalação dos ActiveX. Eles passaram a necessitar de dois cliques e não interrompem a navegação do internauta (a janela do Java, como a antiga janela do ActiveX, aparece por cima do site). Desde então, os problemas com ActiveX maliciosos acabaram – também em parte porque as empresas que obtinham licenças para criar ActiveX também acabaram.
O Java, em sua tentativa de executar softwares dentro do navegador – igual o ActiveX – parece estar cometendo os mesmos erros.
Nas opções do NoScript é possível desativar o Java e configurar uma lista branca de sites autorizados, caso alguma página precise do plugin (Foto: Reprodução)Nas opções do NoScript é possível desativar o Java e configurar uma lista branca de sites autorizados, caso alguma página precise do plugin (Foto: Reprodução)
E bancos usam Java?
O Java é uma linguagem muito popular em empresas e todo tipo de sistema é desenvolvido em Java. Apesar dos problemas de segurança e usabilidade do recurso de applets, bancos podem utilizar a plataforma para criar recursos de proteção. Porém, a maioria dos bancos não usa mais o Java.
Se o seu banco reclamar que precisa de Java para funcionar, a melhor opção é usar o Firefox com o plugin NoScript, ou mesmo reservar um navegador com Java ativado só para acessar o banco. O NoScript permite que você configure uma lista branca de sites confiáveis nos quais o Java será permitido. Note que, nesse caso, o plugin do Java precisa estar ativado no Firefox e somente a opção Proibir Java do NoScript (configurável na lista de complementos, em “Opções”) é que deve ficar desativada.
Criminosos sabem disso tudo
O Java é o plugin mais atacado por sites maliciosos na web e também é o preferido para tirar proveito de usuários que visita sites legítimos que foram alterados por hackers.
Navegar na web com o Java ativado é simplesmente muito inseguro devido aos erros no sandbox e também um possível clique acidental em “Executar”. Como a quantidade de sites que usa o Java é baixíssima, é melhor usar uma lista de sites autorizados no NoScript, ou então reservar um navegador com Java ativado somente para esses sites.Depois desse longo “pacotão” com uma só pergunta, a coluna Segurança Digital espera ter deixado claro por que desativar o Java é uma escolha inteligente para proteger seu PC. Se você ainda tiver dúvidas, deixe sua pergunta na área de comentários, porque toda quarta-feira tem um pacotão de segurança aqui no G1. Até a próxima!

*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.

Nenhum comentário:

Postar um comentário

LinkWithin

Related Posts Plugin for WordPress, Blogger...