Autor Tópico: Mesmo trabalhando com o Ubuntu é preciso se preocupar com o java?  (Lida 829 vezes)

Offline RaiJorge

  • Usuário Ubuntu
  • *
  • Mensagens: 107
    • Ver perfil
Mesmo trabalhando com o Ubuntu é preciso se preocupar com o java?
« Online: 24 de Agosto de 2011, 12:13 »
Essa matéria preocupa também no mundo do linux?
http://g1.globo.com/tecnologia/noticia/2011/08/pacotao-de-seguranca-desative-o-java-para-ficar-mais-seguro-na-web.html

Pacotão de segurança: desative o Java para ficar mais seguro na web
Plugin é o mais atacado em navegadores de internet.
Saiba por que isso acontece e deixe suas dúvidas.


O Java é uma linguagem de programação que instala um plugin em navegadores de internet. Esse plugin é o mais atacado por sites maliciosos, segundo a Microsoft. A coluna Segurança Digital de hoje traz instruções atualizadas para desativá-lo e também uma longa explicação detalhando por que você deve fazer isso. Quer ir direto ao assunto? Veja a seção desativando o Java.

Além da coluna Segurança Digital do G1, a desativação do Java também foi recomendada por Tantek Çelik, especialista em padrões de internet, e pelo jornalista especializado em segurança Brian Krebs, que chamou o plugin do Java de “um presente para criadores de códigos maliciosos”. A fabricante de equipamentos de infraestrutura de internet, Cisco, também comentou o crescimento dos ataques usando o plugin do Java.
A preferência brasileira por ataques ao plugin do Java pode ser vista no ataque ao site do São Paulo FC e também da Ambev. Já o ataque que contaminou 790 mil páginas de comércio eletrônico tentava explorar duas falhas no Java.
>>> Java e segurança
Sempre que a coluna Segurança Digital do G1 menciona os riscos do Java na internet, algum defensor da linguagem comenta com uma crítica ou comentário contrário à sugestão. Um exemplo:
Contradição essa propaganda repentina contra o Java, pois boa parte dos sistemas de banco, inclusive os de segurança, é baseada em Java. Não seria melhor limpar o cache de cookies ou usar navegação segura? Ou quem sabe, deletar o 'ursinho' da pasta system?
Maestro Bogs
O pacotão de hoje vai ser especial para responder essa questão. É preciso antes esclarecer o final do comentário do leitor.
Existe um boato que circula na internet sobre um arquivo com um ícone de ursinho que seria um vírus. Esse arquivo é na realidade inofensivo e faz parte do Windows. Logo, o comentário final do leitor trata-se de uma tentativa de desmerecer a recomendação da coluna sobre desativar o Java, ligando a sugestão a um boato de internet.
Mas esse não é o caso: desativar o Java ajuda, sim, na segurança da sua navegação. O Java é um software nada amigável para o usuário que possui falhas de segurança na programação e também na forma que ele é apresentado para o usuário. Vamos entender o problema.

Se o usuário não modificar a configuração,
Java só procura atualizações uma vez por mês

O que é o Java
Java é uma linguagem de programação – ou seja, um conjunto de regras, instruções e outras ferramentas que permitem a criação de softwares de computador. Ela foi desenvolvida pela Sun Microsystems (hoje pertencente à Oracle) e lançada em 1995. Uma das características do Java é a capacidade de ser executado em qualquer sistema operacional. Normalmente, um programa precisa de ajustes ou mesmo de uma mudança completa para funcionar em cada sistema ou dispositivo.
Existem outros detalhes técnicos, mas eles não são relevantes no momento. Importante, porém, é ressaltar que Java e Javascript são duas coisas completamente diferentes. Javascript é uma linguagem de programação muito limitada e que funciona dentro de páginas de internet. Java é uma linguagem de programação completa e que, por acaso, tem um recurso para ser executado dentro de navegadores.
Onde está o problema
Não existe nada de errado no Java em si – é apenas uma linguagem de programação como tantas outras. Não há problema nenhum em executar softwares em Java no PC.
O problema está em um “recurso” que permite a execução de applets – pequenos programas em Java – dentro do navegador de internet, que normalmente é incapaz de executar qualquer tipo de programa.
Os applets não têm nenhuma relação com o Java em si, ou seja, desativar os applets – a sugestão da coluna – não interfere com os programas em Java de verdade, apenas com as páginas de internet que usam o Java.
Os applets têm restrições, é claro. Eles não podem alterar arquivos no sistema. No entanto, essa “jaula” que impede a execução de funções especiais – chamada de sandbox (caixa de areia) – tem erros frequentes que permitem a applets “se libertarem” e acessarem todos os recursos do PC, permitindo a instalação de vírus. Detalhe: os vírus em si não são feitos em Java, após o código que instala o vírus é Java.

A janela que permite libertar um applet para realizar
qualquer tarefa no PC fica por cima dos sites,
atraindo a atenção do internauta (Foto: Reprodução)
A Oracle – responsável pelo Java – conserta essas vulnerabilidades no sandbox. Mas aí há outro problema nos componentes auxiliares do Java. O software é incompetente na tarefa de avisar o usuário sobre a disponibilidade dessas melhorias de segurança. No Windows, ele precisa de direitos administrativos só para verificar a atualização – algo que só deveria ser necessário para instalar a atualização.
O ícone do “Java” no Painel de Controle não funciona como esperado e a opção para desativar o plugin nos navegadores está quebrada.
Ele ainda vem configurado por padrão para verificar atualizações somente uma vez por mês. Compare com o Windows ou com qualquer antivírus, que busca atualizações diariamente. Isso significa que existe uma chance muito alta de uma versão insegura do Java estar em uso a qualquer momento.
Infeção em um clique
Supondo que você esteja com a versão mais nova do Java e que ela não apresente falhas de segurança, os problemas ainda não acabaram. Isso porque os applets Java, esses que executam dentro do navegador, ainda podem solicitar a “liberação” de todos os recursos. Essa tela tem apenas dois botões: “Executar” e “Cancelar”. Um clique no Executar e pronto: o computador está infectado.
O objetivo disso é dar mais flexibilidade e possibilidades aos programadores. Mas a forma como o recurso está colocado em prática não foi bem pensada.

Janela do ActiveX usava até o Windows XP SP2,
em 2004. Um único clique em Sim era suficiente
para infectar o PC
Lição de história
A história do Java se parece muito com uma polêmica antiga de segurança. O Internet Explorer foi bombardeado de críticas, principalmente entre os anos 2000 e 2004, devido ao recurso de instalação de ActiveX. A janela do ActiveX também permitia a instalação de componentes com um único clique: “sim” ou “não”. Na época, alguns usuários atribuíam esses problemas incorretamente ao Internet Explorer estar “atrelado ao Windows”.
Mas o problema do Java consegue ser ainda maior que o do ActiveX. Vírus como ladrões de senhas bancárias nunca usaram o ActiveX – apenas softwares publicitários e outros tipos de lixo digital faziam uso da função. Isso porque o ActiveX exigia que os aplicativos a serem executados tivessem uma assinatura digital válida, que necessita o uso de uma empresa estabelecida para solicitar o certificado.
O Java é bem menos exigente. Ele trata um software sem identificação exatamente da mesma forma que um software identificado, exceto por uma pequena mudança de cor na tela e o texto “(NÃO VERIFICADO)”. Um ActiveX não-assinado simplesmente não existe para o Internet Explorer na configuração de fábrica do navegador.
Em 2004, o lançamento do Windows XP SP2 mudou completamente a forma de instalação dos ActiveX. Eles passaram a necessitar de dois cliques e não interrompem a navegação do internauta (a janela do Java, como a antiga janela do ActiveX, aparece por cima do site). Desde então, os problemas com ActiveX maliciosos acabaram – também em parte porque as empresas que obtinham licenças para criar ActiveX também acabaram.
O Java, em sua tentativa de executar softwares dentro do navegador – igual o ActiveX – parece estar cometendo os mesmos erros.

Nas opções do NoScript é possível desativar o Java e configurar uma lista branca de sites autorizados, caso alguma página precise do plugin
E bancos usam Java?
O Java é uma linguagem muito popular em empresas e todo tipo de sistema é desenvolvido em Java. Apesar dos problemas de segurança e usabilidade do recurso de applets, bancos podem utilizar a plataforma para criar recursos de proteção. Porém, a maioria dos bancos não usa mais o Java.
Se o seu banco reclamar que precisa de Java para funcionar, a melhor opção é usar o Firefox com o plugin NoScript, ou mesmo reservar um navegador com Java ativado só para acessar o banco. O NoScript permite que você configure uma lista branca de sites confiáveis nos quais o Java será permitido. Note que, nesse caso, o plugin do Java precisa estar ativado no Firefox e somente a opção Proibir Java do NoScript (configurável na lista de complementos, em “Opções”) é que deve ficar desativada.
Criminosos sabem disso tudo
O Java é o plugin mais atacado por sites maliciosos na web e também é o preferido para tirar proveito de usuários que visita sites legítimos que foram alterados por hackers.
Navegar na web com o Java ativado é simplesmente muito inseguro devido aos erros no sandbox e também um possível clique acidental em “Executar”. Como a quantidade de sites que usa o Java é baixíssima, é melhor usar uma lista de sites autorizados no NoScript, ou então reservar um navegador com Java ativado somente para esses sites.
Desativando o Java
O Java tem um ícone no Painel de Controle e na opção “Avançado” há botões para desativar o Java no Internet Explorer e no Firefox. Mas não perca seu tempo. As opções não funcionam! Na verdade, elas funcionam, mas depende de fatores “misteriosos”, e simplesmente não dá para confiar no resultado.
Internet Explorer: (aperte a tecla ALT para ver o menu, se necessário) Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Selecione todas as opções do Java (usando SHIFT e CTRL, ou então uma de cada vez) e acione o botão Desabilitar. Reinicie o navegador. Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu rotulado “Mostrar” na parte esquerda da tela. (A opção “Desativar scripts de miniaplicativos Java”, nas zonas de segurança, também não funciona, apesar do nome).

Se o Java não estiver na lista, selecione a opção para 'Mostrar todos os complementos'
Firefox: Acesse o menu “Firefox” e então “Complementos”. Clique em “Desativar” em todas as opções relacionadas ao Java nos plugins.

Clique em 'Desativar' em cada plugin relacionado
ao Java listado no Firefox
Chrome: É preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativar.
Se o Java não estiver listado, ele não está instalado no PC. Não perca seu tempo instalando. Se você não sentiu falta, não precisa.
Depois desse longo “pacotão” com uma só pergunta, a coluna Segurança Digital espera ter deixado claro por que desativar o Java é uma escolha inteligente para proteger seu PC. Se você ainda tiver dúvidas, deixe sua pergunta na área de comentários, porque toda quarta-feira tem um pacotão de segurança aqui no G1. Até a próxima!

Offline zekkerj

  • Usuário Ubuntu
  • *
  • Mensagens: 19.301
  • Gratidão gera gratidão, lamúria gera lamúria...
    • Ver perfil
Re: Mesmo trabalhando com o Ubuntu é preciso se preocupar com o java?
« Resposta #1 Online: 24 de Agosto de 2011, 14:26 »
Todo aplicativo tem suas vulnerabilidades. Uma vulnerabilidade no java tem o potencial de expor o sistema onde a máquina java esteja rodando, pois essa vulnerabilidade pode ser explorada pra liberar programas java a fazer coisa que normalmente não deveria poder fazer.

Nesse sentido, é essencial aplicar qualquer correção para o Java que seja disponibilizada, bem como todas as atualizações de segurança do sistema.

Note que quando uma notícia dessas vai a público, normalmente os fabricantes e distribuidores já foram avisados e já disponibilizaram correções para seus produtos.
Pesquise antes de perguntar, sua dúvida pode já ter sido respondida.
Não respondo dúvidas por MP, coloque sua dúvida no fórum onde ela pode ser pesquisada pelos seus colegas!
Não venha ao fórum apenas para perguntar. Se você sabe a resposta de um problema, porque não ajudar seu colega? ;D