Pacotão: quem precisa de Java, ActiveX e segurança na web


Se você tem alguma dúvida sobre segurança da informação (antivírus, invasões, cibercrime, roubo de dados, etc), vá até o fim da reportagem e utilize a seção de comentários. A coluna responde perguntas deixadas por leitores todas as quartas-feiras.

 

Esta coluna fez mais uma vez a sugestão para desativar o Java, e, como é de costume nesses casos, recebeu dúvidas e críticas de internautas. A coluna abordará algumas das questões levantadas.

>>> ActiveX vs. Java
Só um retardado pode falar que ActiveX é melhor que o Java só por que bloqueia a execução de programas não assinados. Tudo é uma questão de configuração, e se o ActiveX tem diversas configurações limitantes iguais a esta é exatamente por causa do seu passado sombrio.
Vinicius Mello Lima

Essa limitação do ActiveX, referente aos componentes assinados, não é nova. Os problemas e críticas conhecidos do ActiveX ocorreram mesmo com a “limitação”. Apesar dela, o ActiveX foi abusado por empresas inescrupulosas para a instalação de spywares. Apesar dela, veja bem – sem ela, ActiveX poderia ter sido como o Java e usado para instalar ladrões de senhas bancárias. Mas isso nunca aconteceu com o ActiveX na escala em que acontece com o Java.

O problema do ActiveX foi ainda outro: muitos softwares inseguros que instalavam componentes e os marcavam como “seguros para scripting”, permitindo que sites na internet acessassem esses scripts. Um exemplo notável é o de um componente instalado pela fabricante Acer, que permitia executar um programa do PC com uma única linha de código. Isso foi em 2007 (leia mais aqui).

O ActiveX tem bloqueado componentes inseguros usando o que a Microsoft chama de “killbits”.

Ou seja, os problemas do ActiveX são mais passados do que atuais. E o passado do ActiveX não deve ser motivo de ataque ao ActiveX, e sim uma lição para outros softwares.

Não há aqui o intuito de defender a Microsoft. A Microsoft tem agora uma tecnologia que exibe uma tela que pede permissões (sem explicar quais permissões exatamente) para executar softwares. Ela se chama ClickOnce e faz parte do .NET Framework (concorrente do Java):

Aviso de ClickOnce da Microsoft. (Foto: Reprodução)

De fato, essa janela do ClickOnce é idêntica à do Java:

Antigo aviso de execução de applets. (Foto: Reprodução)

O ClickOnce tem uma organização de permissões diferente da dos applets Java, mas ainda não está claro qual o impacto de um possível abuso de uma praga digital. De qualquer forma, o impacto de se clicar em “instalar” é tão nebuloso quanto o “executar” dos applets Java ou o “Sim” do ActiveX anterior ao Windows XP SP2.

>>> Sites de banco
A maioria dos sites de bancos não funciona sem o Java ativado. O que fazer então, já que este está com tantas vulnerabilidades? Não acessar mais internet banking? E se estas brechas são tão antigas e conhecidas, porque os bancos utilizam o Java ainda? Isso não faz sentido ou os bancos não estão nem aí pra segurança dos seus clientes!
Alejandro

Muitos bancos não requerem o Java quando o acesso é realizado partir do navegador Internet Explorer no Windows. Certamente muitos bancos menores não dependem do Java, assim como muitos bancos grandes. Alguns deles precisam do Java instalado, mas não ativado no navegador.

De qualquer forma, a coluna já respondeu essa pergunta: basta deixar o Java ativado em um navegador e não em outro. No meu caso, que não acesso um único site que depende de Java, o software está totalmente desativado no meu PC (para não correr o risco de reativá-lo). Porém, utilizo softwares em Java, de modo que não posso desinstalá-lo (uma atitude que também não é necessária). Cada um pode adaptar o uso às suas necessidades.

Se a maioria das pessoas requer apenas o Java para acessar um único site, certamente não compensa deixá-lo ativado para a internet inteira.

>>> Javascript
Ao desativar o Java Script nas “configurações avançadas / privacidade / configurações de conteúdo / java script” do Chrome o gmail não funciona em modo padrão: “O JavaScript tem que ser ativado para que você possa usar o Gmail no modo de exibição padrão. Porém, aparentemente, o JavaScript está desativado ou é incompatível com o seu navegador. Para usar o modo de exibição padrão, ative o JavaScript alterando as opções do navegador e tente novamente.
Para usar o modo de exibição em HTML básico do Gmail, que não requer JavaScript, clique aqui”
Nem o site do G1 carrega direito! Afinal acho que o Java não é tão “pouco usado” como você diz…

Alejandro

Alejandro, a coluna não deu essas instruções que você seguiu em lugar algum. Esses passos não desativam o Java, e sim Javascript.

Quando se fala em tecnologias de internet no lado do cliente (do internauta), Javascript é uma linguagem bastante diferente de Java e seus usos mais comuns diferem e muito. O Javascript (cujo nome padronizado é ECMAScript) é largamente utilizado em sites na internet e, de fato, muitos não funcionarão sem ele. Java, apesar do nome parecido, é algo completamente diferente e uma coisa não depende da outra.

Um detalhe básico é que Javascript é interpretado pelo próprio navegador, enquanto o Java é apenas executado por um plug-in.

>>> Desativar o Windows?
Só pode que você é um entusiasta .net, por que se criticam tanto o java por vulnerabilidades, por favor faça um favor e peçam o usuários para “desativar” o Windows, pois eu garanto que as falhas nele são muito maiores que a do Java.
Romulo

Não sou um entusiasta do .NET, como você viu logo acima, Romulo. Já sobre a dica de desativar o Windows, você está livre para fazê-lo, se não precisa de nenhum software ou hardware que apenas executa (ou que funciona melhor) em um Windows. Cada um está livre para usar o sistema operacional que melhor atende as suas necessidades.

A diferença é que o plug-in do Java não é utilizado por muitos internautas e eles nem sabem disso. Aliás, migrando para o Linux você não vai se livrar dos problemas do Java, já que ele é multiplataforma. Se migrar para o Mac OS X não há problema: as atualizações recentes da Apple desativam o Java no navegador, e, se você voltar a ativá-lo e ficar um tempo sem utilizá-lo, o navegador automaticamente desativa o Java outra vez. Ou seja, a Apple vai forçar você a seguir a dica da coluna.

Mas, sobre sua afirmação de que as falhas do Windows são maiores que as do Java, a questão não é tão simples. O Windows tem mais vulnerabilidades, mas observando a lista de vulnerabilidades do Windows 7 da Secunia, temos 2 alertas de nível 5 (o mais crítico) desde 2009. Vendo os alertas do Java 7, que são apenas 6, dois são nível 5 e os demais são nível 4. O Java 7 foi lançado em 2011, dois anos depois do Windows 7.

Já comparando o Windows Vista (janeiro de 2007) e o Java 1.6 (dezembro de 2006) na Secunia, são 388 vulnerabilidades do Windows Vista contra 304 do Java. 4% das falhas do Windows permanecem sem correção, enquanto do Java são 8%. Porém, pela lista da Secunia, o Windows Vista teve falhas de nível 5, enquanto o Java 1.6 não teve nenhuma.

Esses números são, é bom deixar claro, irrelevantes, porque o número e a gravidade das vulnerabilidades não têm uma relação direta com a ameaça real e o risco que elas representam. Um invasor só precisa de uma falha grave para atacar o sistema. Qualquer sistema operacional terá falhas (e atualizações para elas). Todo mundo precisa de um sistema operacional. Nem todo mundo precisa do plug-in do Java.

Discutir números crus de falhas é algo pouco útil, e normalmente usado por quem quer atacar software livre (que normalmente sai mal dessa conta). Então a coluna não fará isso. Em vez disso, ficamos com fato mais simples: hoje, é mais fácil ter sucesso em um ataque via web explorando o plug-in do Java do que uma falha no Windows.

Em um kit de ataque on-line, estatísticas mostram que 62,93% dos ataques com sucesso usaram falha no Java. (Foto: Reprodução/Kaspersky Lab)

>>> Falha no Internet Explorer
Eu li uma reportagem, aqui mesmo no G1, que a vulnerabilidade só existia nos navegadores Internet Explorer, nas versões 7 e 8, se não me falha a memória. Isso procede? O Chrome e o Firefox estariam livres dessa falha?
Se sim, então não deveríamos desativar o Java e sim desinstalar o I.E?

Sávio Aires Vilar de Moura

Essa falha que você mencionou, Sávio, é uma falha diferente. Falhas no plug-in Java são em geral exploráveis em qualquer navegador e em qualquer sistema operacional em que o plug-in existe (inclusive Linux e Mac OS X). É exatamente por isso que elas são tão atraentes para os criminosos.

Sobre desinstalar o Internet Explorer, isso não existe. Você até pode remover o ícone do Internet Explorer, mas não pode desinstalar o componente básico do Internet Explroer do computador, já que isso pode impedir o funcionamento de alguns softwares. Basta não usar o Internet Explorer. Também não é preciso desinstalar o Java. Basta desativar o plug-in.

Esta coluna já recomendou a utilização do Chrome, por ter atualmente o melhor conjunto de recursos de segurança.

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s