DATA DA PUBLICAÇÃO 26/08/2011 | Informática
Entenda por que desativar o plugin do Java ajuda a segurança
A coluna Segurança Digital do G1 sugeriu a internautas que desativem o plugin do Java para ficarem mais seguros na web. A recomendação atraiu dezenas de críticas, apesar da extensa explicação sobre o que levou a coluna a fazê-la.
O assunto continua na coluna de hoje, esclarecendo alguns pontos e comentando as críticas feitas pelos leitores – muitos deles desenvolvedores em linguagem Java.
Antes disso, porém, é importante resumir a argumentação da coluna: o número de sites que depende do plugin do Java em navegadores web é muito pequeno, enquanto a quantidade de sites maliciosos que se aproveita dele é muito grande. Isso significa que vale mais a pena usar o plugin Java em um navegador específico com ele ativado do que deixa-lo funcionando o tempo todo e correr riscos sem necessidade. Veja o final do texto do último pacotão para saber como desativar o Java.
A coluna não faz recomendações semelhantes sobre o Flash Player apenas porque muitos sites dependem dele. A maior parte do conteúdo em vídeo na web, por exemplo, é transmitida com Flash.
Quanto ao Reader, também um grande alvo de ataques, a coluna já comentou sobre suas vulnerabilidades e só não recomenda que ele seja desativado porque a Adobe mudou completamente sua estratégia no Reader X (versão 10). Agora, o software está com atualização automática funcional e silenciosa e também com um recurso isolador extra (sandbox).
As diferenças do Reader em relação aos applets Java são duas: a atualização automática do Java é inadequada (uma vez por mês, por padrão) e os applets dependem de uma sandbox apenas para funcionarem como recurso, enquanto no Reader isso é uma função extra de segurança.
Alguns leitores que criticaram a coluna disseram que muitos sites usam o plugin do Java. Essa informação não procede. O Javascript, sim, é comum em sites de internet – é uma linguagem criada para ser usadas em páginas. Apesar do nome parecido, o Java é muito diferente e foi adaptado, por meio do plugin, para rodar dentro de navegadores. No entanto, a maioria dos sites abandonou o Java por tecnologias como o próprio Javascript e Flash, o que significa que, em muitos casos, o plugin do Java não é necessário.
A coluna não é sobre o uso da linguagem Java
A primeira coluna foi bastante clara nessa questão. “Não existe nada de errado no Java em si – é apenas uma linguagem de programação como tantas outras. Não há problema nenhum em executar softwares em Java no PC.”.
O problema de segurança existe no plugin do Java, que é executado dentro do navegador web para permitir o uso de applets dentro de sites. Applets são usados por pouquíssimos sites da web, normalmente apenas para conteúdo muito específico ou dentro de redes de empresas. Logo, a maioria dos internautas não sentirá falta do plugin no computador de casa. No computador do trabalho, esse tipo de configuração deve ser feita pelo técnico ou departamento de tecnologia da empresa.
A linguagem Java é utilizada por muitas empresas para serviços e sites variados e que nada têm a ver com as ameaças ligadas ao plugin – é uma linguagem extremamente popular do mercado, inclusive. Usuários não precisam do plugin do Java para interagir com esses serviços, mesmo que tenham sido desenvolvidos em Java, exceto se eles fizerem uso de applets, o que é raro atualmente, com algumas exceções importantes. Além disso, o uso da linguagem Java não torna esses serviços mais ou menos seguros.
A Microsoft é concorrente do Java, mas dados estão consistentes
Há muitos sites maliciosos explorando o plugin do Java – esse é um dos argumentos da coluna. Muitos desenvolvedores criticaram a coluna por usar uma informação da Microsoft dizendo que o plugin do Java é hoje o componente mais atacado em sites maliciosos da web. A Microsoft é desenvolvedora da tecnologia .Net que, em várias situações, concorre diretamente com o Java. Haveria, portanto, um conflito de interesse.
Os dados da Microsoft são parecidos com os de outras empresas. A Kaspersky Lab lançou estatísticas no início de agosto mostrando que o Java é o terceiro mais atacado, atrás do Internet Explorer e do Adobe Reader. A Kaspersky ainda adicionou que “códigos maliciosos em Java [applets] são a maneira mais fácil de burlar as proteções do sistema operacional”.
A Symantec, fabricante do antivírus Norton, fez observações semelhantes. O relatório de ameaças da empresa apontou que o kit de ataque mais comum (Phoenix) utiliza falhas no Java, Windows Media Player, Flash Player e Adobe Reader.
A empresa ainda observou especificamente que o Java está sendo alvo de ataques porque ele é um “ponto atraente de entrada” para os criminosos devido à inexistência dos recursos de segurança que os navegadores modernos empregam, como mostra o gráfico acima. Além disso, como applets Java são processados pelo software do Java Runtime Environment (JRE), softwares de segurança têm dificuldades para analisá-los, dando ainda outra vantagem para os criminosos.
A Symantec comentou sobre a possibilidade de diferenças nessas estatísticas. Como os kits de códigos maliciosos exploram uma falha depois da outra, em sequência, e a ordem nem sempre é a mesma, podem haver diferenças no que é detectado como mais ou menos comum.
A Cisco, mais conhecida como fabricante de equipamentos de infraestrutura de internet e que tem o serviço de proteção ScanSafe, notou o uso cada vez mais comum de ataques ao Java pelos mesmos motivos dados pela Symantec.
Não existem estatísticas específicas para o Brasil. Mas, em geral, sites nacionais, quando invadidos por criminosos brasileiros, são alterados para incluir um applet Java. Não se costuma usar códigos maliciosos em Flash ou PDF.
Exemplos incluem o site do São Paulo FC, da empresa de bebidas Ambev e da operadora de telefonia Oi. A maneira que os criminosos brasileiros encontraram para disseminar o código malicioso, em todos esses casos e em muitos outros, foi um applet Java (o código já foi removido destes sites).
Recentemente, milhões de páginas foram alteradas para explorar uma falha no Internet Explorer, uma no Windows, outra no Adobe Reader e duas falhas no Java. (Quando o G1 publicou a reportagem, o número era 790 mil; esse número depois passou de um milhão).
Perda de função e a segurança
Leitores comentaram que desativar uma função não é aumentar a segurança e, sim, perder a funcionalidade. Pelo contrário: o procedimento básico para deixar qualquer sistema seguro é desativar aquilo que não se usa. Se um recurso não é necessário, deixa-lo ativado agrega riscos desnecessários, da mesma forma que instalar um software que não será utilizado apenas ocupa mais espaço no disco.
O argumento da coluna é de que a maioria das pessoas não verá perda de funcionalidade ao desativar o plugin do Java, ou seja, há apenas ganhos expressivos na segurança.
Software de banco usa o Java sim, mas nem sempre
O argumento acima é normalmente rebatido citando softwares para internet banking. Essa declaração normalmente é feita com base no Banco do Brasil, que durante anos exigiu o Java para o acesso ao serviço.
Segundo os requerimentos de acesso do Banco do Brasil, o plugin do Java – na verdade o Java em si – não é mais necessário em Windows se o acesso for feito com Internet Explorer ou Firefox – caso da maioria dos usuários e, principalmente, dos usuários que mais precisam se preocupar com segurança. Apenas outros navegadores e usuários de Mac e Linux precisam do Java e do plugin.
Situação semelhante existe em outros bancos, e alguns não necessitam do plugin independentemente da plataforma e/ou navegador em que for acessado. A necessidade do plugin do Java é normalmente restrita a usuários de navegadores como o Chrome e em plataformas como o Linux – caso de uma minoria. Usuários de Mac devem observar que o plugin do Java já está sendo usado para disseminar vírus para Mac, com algum sucesso.
Mesmo assim, caso o plugin seja necessário, o internauta pode usar outro navegador com o Java ativado, ou usar o Firefox com o NoScript, como a coluna demonstrou. Um, dois ou três sites que usam o Java não é argumento para mantê-lo ativado em todos os outros e correr o risco de sofrer uma infecção por vírus que, como foi visto mais acima, pode, sim, acontecer.
Java é amigável com o usuário?
Softwares desenvolvidos em Java (“a” linguagem de programação Java) podem ser amigáveis ao usuário. Porém, “o” Java – também chamado de Java Runtime Environment (JRE), o software responsável por processar os aplicativos em Java –, no Windows, tem problemas.
Um dos problemas – e esse é multiplataforma – é que applets assinados digitalmente, mesmo os com assinaturas inválidas, exibem ao internauta um aviso para executar o applet. Em um único clique nessa tela, que pula por cima do site, o internauta terá seu computador infectado. E ainda: o criminoso é que escolhe algumas informações que serão exibidas, como o nome do programa, entre outras, dando mais possibilidade para enganação (engenharia social).
O CERT da Universidade Carnegie Mellon já apontou em 2008 os problemas de segurança com essa prática e recomendou que usuários desativassem a execução de applets com assinaturas inválidas. O CERT fez inclusive a mesma comparação realizada pela coluna, traçando paralelos entre o Java de hoje e os ActiveX da Microsoft em 2004.
Alguns leitores argumentaram que essa tela do Java apresenta informações adequadas. As informações estão ali, sim, porém em navegadores atuais a execução de softwares necessita de vários cliques para diferenciar essa ação realmente perigosa de outros avisos menos importantes. Não se confia que os usuários vão ler todos os avisos, e avisos importantes precisam ter um formato mais claro e menos intrusivo para que o internauta não pense que aceita-lo é essencial. Ou seja, o plugin do Java não está de acordo com as regras de usabilidade de segurança adotadas hoje.
O segundo problema do JRE está nas atualizações automáticas, que tem na verdade dois problemas. O primeiro erro é que ela está configurada para verificar por atualizações uma vez por mês. Essa é uma frequência baixa para softwares que lidam com dados que chegam da internet – no caso do JRE, os applets processados pelo plugin. Ela significa que uma atualização de segurança lançada hoje pode ser instalada somente 30 dias depois – 30 dias em que o usuário ficará completamente vulnerável e alvo fácil para os criminosos.
As atualizações automáticas também pecam porque precisam de muitos cliques para serem instaladas e não funcionam corretamente junto do Controle de Contas de Usuário (UAC) dos Windows Vista e 7. A solicitação do UAC é exibida antes da janela de aviso de atualização do Java – é confuso: além do ícone, não existe outro indicativo de que a autorização é necessária, e usuários atentos devem negar avisos como esse.
Em outras palavras: qualquer aplicativo poderia exibir uma janela com o ícone do Java nessa situação e se passar por ele para obter o controle total do computador do usuário. É por isso que avisos do UAC devem ser apenas exibidos depois que o usuário realizou uma ação específica, como um clique no botão “Instalar”.
Como o plugin do Java está operando na web, ele poderia, inclusive, fazer como o Reader e adotar atualizações 100% automáticas e silenciosas, possíveis com o uso de serviços do Windows. Também é preciso reduzir o número de cliques necessários depois que o usuário autorizou a instalação para garantir que o internauta esteja sempre com a versão mais nova e segura do plugin.
Essas práticas são hoje reconhecidas como necessárias para softwares que lidam com dados que chegam da web. O Chrome, navegador do Google, se atualiza sem avisar o usuário, e atualiza junto consigo o Flash e um leitor de PDF para garantir que o usuário está protegido. Considerando que Flash, PDF e Java são as três tecnologias mais atacadas – como mostram as estatísticas -, o calcanhar de Aquiles do Chrome – o navegador mais seguro de hoje - é o plugin do Java.
O resultado desse processo complicado de atualização do Java apareceu no último relatório da Kaspersky em que a segunda vulnerabilidade mais presente no PC dos internautas era do JRE – uma falha que pode ser aproveitada por sites maliciosos devido ao plugin. Junto do Java há apenas falhas no Flash Player e uma do Adobe Reader 9, versão antiga do leitor de PDFs que não tem os recursos da versão nova.
Essas falhas permitem que um criminoso crie um site capaz de infectar o PC dos internautas sem nenhum outro clique necessário para confirmar o download do vírus.
Em 2010, a Mozilla bloqueou o plugin do Java devido a problemas de segurança.
São esses motivos que levam a coluna a recomendar, mais do que a mera restrição de applets não-assinados – e que não protegeria contra um Java desatualizado – a desativação completa dos applets Java no navegador. O jornalista especializado em segurança Brian Krebs, que já trabalhou com o Washington Post, faz a mesma recomendação e chama o Java de “um presente para criadores de códigos maliciosos”, mesma recomendação também feita por Tantek Çelik, um especialista em padrões de internet que observou a comercialização de vulnerabilidades do Java no mercado negro.
É mais seguro usar outro navegador com o Java ativado só quando ele for necessário do que se expor aos sites que exploram as brechas no software. A perda de comodidade é muito pequena, porque o uso do plugin do Java, hoje, é raro.
Esses problemas de usabilidade da atualização do Java não existem em outras plataformas nas quais a atualização do JRE é feita juntamente com o gerenciador de pacotes ou de atualizações do sistema, garantindo que as atualizações sejam instaladas mais rapidamente e de uma forma bem integrada com o sistema. A execução de applets assinados, porém, existem em vários sistemas e é hoje a maneira mais fácil de enganar o internauta para que ele execute um código malicioso: é quase universal, simples e funciona.
A coluna espera ter esclarecido alguns pontos, mostrado a opinião de outros especialistas e fornecido dados suficientes para mostrar que o Java é, sim, um risco para a navegação e que, para quem se preocupa com a segurança, é mais fácil ativá-lo especificamente quando for necessário do que tê-lo ativado o tempo todo.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
O assunto continua na coluna de hoje, esclarecendo alguns pontos e comentando as críticas feitas pelos leitores – muitos deles desenvolvedores em linguagem Java.
Antes disso, porém, é importante resumir a argumentação da coluna: o número de sites que depende do plugin do Java em navegadores web é muito pequeno, enquanto a quantidade de sites maliciosos que se aproveita dele é muito grande. Isso significa que vale mais a pena usar o plugin Java em um navegador específico com ele ativado do que deixa-lo funcionando o tempo todo e correr riscos sem necessidade. Veja o final do texto do último pacotão para saber como desativar o Java.
A coluna não faz recomendações semelhantes sobre o Flash Player apenas porque muitos sites dependem dele. A maior parte do conteúdo em vídeo na web, por exemplo, é transmitida com Flash.
Quanto ao Reader, também um grande alvo de ataques, a coluna já comentou sobre suas vulnerabilidades e só não recomenda que ele seja desativado porque a Adobe mudou completamente sua estratégia no Reader X (versão 10). Agora, o software está com atualização automática funcional e silenciosa e também com um recurso isolador extra (sandbox).
As diferenças do Reader em relação aos applets Java são duas: a atualização automática do Java é inadequada (uma vez por mês, por padrão) e os applets dependem de uma sandbox apenas para funcionarem como recurso, enquanto no Reader isso é uma função extra de segurança.
Alguns leitores que criticaram a coluna disseram que muitos sites usam o plugin do Java. Essa informação não procede. O Javascript, sim, é comum em sites de internet – é uma linguagem criada para ser usadas em páginas. Apesar do nome parecido, o Java é muito diferente e foi adaptado, por meio do plugin, para rodar dentro de navegadores. No entanto, a maioria dos sites abandonou o Java por tecnologias como o próprio Javascript e Flash, o que significa que, em muitos casos, o plugin do Java não é necessário.
A coluna não é sobre o uso da linguagem Java
A primeira coluna foi bastante clara nessa questão. “Não existe nada de errado no Java em si – é apenas uma linguagem de programação como tantas outras. Não há problema nenhum em executar softwares em Java no PC.”.
O problema de segurança existe no plugin do Java, que é executado dentro do navegador web para permitir o uso de applets dentro de sites. Applets são usados por pouquíssimos sites da web, normalmente apenas para conteúdo muito específico ou dentro de redes de empresas. Logo, a maioria dos internautas não sentirá falta do plugin no computador de casa. No computador do trabalho, esse tipo de configuração deve ser feita pelo técnico ou departamento de tecnologia da empresa.
A linguagem Java é utilizada por muitas empresas para serviços e sites variados e que nada têm a ver com as ameaças ligadas ao plugin – é uma linguagem extremamente popular do mercado, inclusive. Usuários não precisam do plugin do Java para interagir com esses serviços, mesmo que tenham sido desenvolvidos em Java, exceto se eles fizerem uso de applets, o que é raro atualmente, com algumas exceções importantes. Além disso, o uso da linguagem Java não torna esses serviços mais ou menos seguros.
A Microsoft é concorrente do Java, mas dados estão consistentes
Há muitos sites maliciosos explorando o plugin do Java – esse é um dos argumentos da coluna. Muitos desenvolvedores criticaram a coluna por usar uma informação da Microsoft dizendo que o plugin do Java é hoje o componente mais atacado em sites maliciosos da web. A Microsoft é desenvolvedora da tecnologia .Net que, em várias situações, concorre diretamente com o Java. Haveria, portanto, um conflito de interesse.
Os dados da Microsoft são parecidos com os de outras empresas. A Kaspersky Lab lançou estatísticas no início de agosto mostrando que o Java é o terceiro mais atacado, atrás do Internet Explorer e do Adobe Reader. A Kaspersky ainda adicionou que “códigos maliciosos em Java [applets] são a maneira mais fácil de burlar as proteções do sistema operacional”.
A Symantec, fabricante do antivírus Norton, fez observações semelhantes. O relatório de ameaças da empresa apontou que o kit de ataque mais comum (Phoenix) utiliza falhas no Java, Windows Media Player, Flash Player e Adobe Reader.
A empresa ainda observou especificamente que o Java está sendo alvo de ataques porque ele é um “ponto atraente de entrada” para os criminosos devido à inexistência dos recursos de segurança que os navegadores modernos empregam, como mostra o gráfico acima. Além disso, como applets Java são processados pelo software do Java Runtime Environment (JRE), softwares de segurança têm dificuldades para analisá-los, dando ainda outra vantagem para os criminosos.
A Symantec comentou sobre a possibilidade de diferenças nessas estatísticas. Como os kits de códigos maliciosos exploram uma falha depois da outra, em sequência, e a ordem nem sempre é a mesma, podem haver diferenças no que é detectado como mais ou menos comum.
A Cisco, mais conhecida como fabricante de equipamentos de infraestrutura de internet e que tem o serviço de proteção ScanSafe, notou o uso cada vez mais comum de ataques ao Java pelos mesmos motivos dados pela Symantec.
Não existem estatísticas específicas para o Brasil. Mas, em geral, sites nacionais, quando invadidos por criminosos brasileiros, são alterados para incluir um applet Java. Não se costuma usar códigos maliciosos em Flash ou PDF.
Exemplos incluem o site do São Paulo FC, da empresa de bebidas Ambev e da operadora de telefonia Oi. A maneira que os criminosos brasileiros encontraram para disseminar o código malicioso, em todos esses casos e em muitos outros, foi um applet Java (o código já foi removido destes sites).
Recentemente, milhões de páginas foram alteradas para explorar uma falha no Internet Explorer, uma no Windows, outra no Adobe Reader e duas falhas no Java. (Quando o G1 publicou a reportagem, o número era 790 mil; esse número depois passou de um milhão).
Perda de função e a segurança
Leitores comentaram que desativar uma função não é aumentar a segurança e, sim, perder a funcionalidade. Pelo contrário: o procedimento básico para deixar qualquer sistema seguro é desativar aquilo que não se usa. Se um recurso não é necessário, deixa-lo ativado agrega riscos desnecessários, da mesma forma que instalar um software que não será utilizado apenas ocupa mais espaço no disco.
O argumento da coluna é de que a maioria das pessoas não verá perda de funcionalidade ao desativar o plugin do Java, ou seja, há apenas ganhos expressivos na segurança.
Software de banco usa o Java sim, mas nem sempre
O argumento acima é normalmente rebatido citando softwares para internet banking. Essa declaração normalmente é feita com base no Banco do Brasil, que durante anos exigiu o Java para o acesso ao serviço.
Segundo os requerimentos de acesso do Banco do Brasil, o plugin do Java – na verdade o Java em si – não é mais necessário em Windows se o acesso for feito com Internet Explorer ou Firefox – caso da maioria dos usuários e, principalmente, dos usuários que mais precisam se preocupar com segurança. Apenas outros navegadores e usuários de Mac e Linux precisam do Java e do plugin.
Situação semelhante existe em outros bancos, e alguns não necessitam do plugin independentemente da plataforma e/ou navegador em que for acessado. A necessidade do plugin do Java é normalmente restrita a usuários de navegadores como o Chrome e em plataformas como o Linux – caso de uma minoria. Usuários de Mac devem observar que o plugin do Java já está sendo usado para disseminar vírus para Mac, com algum sucesso.
Mesmo assim, caso o plugin seja necessário, o internauta pode usar outro navegador com o Java ativado, ou usar o Firefox com o NoScript, como a coluna demonstrou. Um, dois ou três sites que usam o Java não é argumento para mantê-lo ativado em todos os outros e correr o risco de sofrer uma infecção por vírus que, como foi visto mais acima, pode, sim, acontecer.
Java é amigável com o usuário?
Softwares desenvolvidos em Java (“a” linguagem de programação Java) podem ser amigáveis ao usuário. Porém, “o” Java – também chamado de Java Runtime Environment (JRE), o software responsável por processar os aplicativos em Java –, no Windows, tem problemas.
Um dos problemas – e esse é multiplataforma – é que applets assinados digitalmente, mesmo os com assinaturas inválidas, exibem ao internauta um aviso para executar o applet. Em um único clique nessa tela, que pula por cima do site, o internauta terá seu computador infectado. E ainda: o criminoso é que escolhe algumas informações que serão exibidas, como o nome do programa, entre outras, dando mais possibilidade para enganação (engenharia social).
O CERT da Universidade Carnegie Mellon já apontou em 2008 os problemas de segurança com essa prática e recomendou que usuários desativassem a execução de applets com assinaturas inválidas. O CERT fez inclusive a mesma comparação realizada pela coluna, traçando paralelos entre o Java de hoje e os ActiveX da Microsoft em 2004.
Alguns leitores argumentaram que essa tela do Java apresenta informações adequadas. As informações estão ali, sim, porém em navegadores atuais a execução de softwares necessita de vários cliques para diferenciar essa ação realmente perigosa de outros avisos menos importantes. Não se confia que os usuários vão ler todos os avisos, e avisos importantes precisam ter um formato mais claro e menos intrusivo para que o internauta não pense que aceita-lo é essencial. Ou seja, o plugin do Java não está de acordo com as regras de usabilidade de segurança adotadas hoje.
O segundo problema do JRE está nas atualizações automáticas, que tem na verdade dois problemas. O primeiro erro é que ela está configurada para verificar por atualizações uma vez por mês. Essa é uma frequência baixa para softwares que lidam com dados que chegam da internet – no caso do JRE, os applets processados pelo plugin. Ela significa que uma atualização de segurança lançada hoje pode ser instalada somente 30 dias depois – 30 dias em que o usuário ficará completamente vulnerável e alvo fácil para os criminosos.
As atualizações automáticas também pecam porque precisam de muitos cliques para serem instaladas e não funcionam corretamente junto do Controle de Contas de Usuário (UAC) dos Windows Vista e 7. A solicitação do UAC é exibida antes da janela de aviso de atualização do Java – é confuso: além do ícone, não existe outro indicativo de que a autorização é necessária, e usuários atentos devem negar avisos como esse.
Em outras palavras: qualquer aplicativo poderia exibir uma janela com o ícone do Java nessa situação e se passar por ele para obter o controle total do computador do usuário. É por isso que avisos do UAC devem ser apenas exibidos depois que o usuário realizou uma ação específica, como um clique no botão “Instalar”.
Como o plugin do Java está operando na web, ele poderia, inclusive, fazer como o Reader e adotar atualizações 100% automáticas e silenciosas, possíveis com o uso de serviços do Windows. Também é preciso reduzir o número de cliques necessários depois que o usuário autorizou a instalação para garantir que o internauta esteja sempre com a versão mais nova e segura do plugin.
Essas práticas são hoje reconhecidas como necessárias para softwares que lidam com dados que chegam da web. O Chrome, navegador do Google, se atualiza sem avisar o usuário, e atualiza junto consigo o Flash e um leitor de PDF para garantir que o usuário está protegido. Considerando que Flash, PDF e Java são as três tecnologias mais atacadas – como mostram as estatísticas -, o calcanhar de Aquiles do Chrome – o navegador mais seguro de hoje - é o plugin do Java.
O resultado desse processo complicado de atualização do Java apareceu no último relatório da Kaspersky em que a segunda vulnerabilidade mais presente no PC dos internautas era do JRE – uma falha que pode ser aproveitada por sites maliciosos devido ao plugin. Junto do Java há apenas falhas no Flash Player e uma do Adobe Reader 9, versão antiga do leitor de PDFs que não tem os recursos da versão nova.
Essas falhas permitem que um criminoso crie um site capaz de infectar o PC dos internautas sem nenhum outro clique necessário para confirmar o download do vírus.
Em 2010, a Mozilla bloqueou o plugin do Java devido a problemas de segurança.
São esses motivos que levam a coluna a recomendar, mais do que a mera restrição de applets não-assinados – e que não protegeria contra um Java desatualizado – a desativação completa dos applets Java no navegador. O jornalista especializado em segurança Brian Krebs, que já trabalhou com o Washington Post, faz a mesma recomendação e chama o Java de “um presente para criadores de códigos maliciosos”, mesma recomendação também feita por Tantek Çelik, um especialista em padrões de internet que observou a comercialização de vulnerabilidades do Java no mercado negro.
É mais seguro usar outro navegador com o Java ativado só quando ele for necessário do que se expor aos sites que exploram as brechas no software. A perda de comodidade é muito pequena, porque o uso do plugin do Java, hoje, é raro.
Esses problemas de usabilidade da atualização do Java não existem em outras plataformas nas quais a atualização do JRE é feita juntamente com o gerenciador de pacotes ou de atualizações do sistema, garantindo que as atualizações sejam instaladas mais rapidamente e de uma forma bem integrada com o sistema. A execução de applets assinados, porém, existem em vários sistemas e é hoje a maneira mais fácil de enganar o internauta para que ele execute um código malicioso: é quase universal, simples e funciona.
A coluna espera ter esclarecido alguns pontos, mostrado a opinião de outros especialistas e fornecido dados suficientes para mostrar que o Java é, sim, um risco para a navegação e que, para quem se preocupa com a segurança, é mais fácil ativá-lo especificamente quando for necessário do que tê-lo ativado o tempo todo.
*Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança digital”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários. Acompanhe também o Twitter da coluna, na página http://twitter.com/g1seguranca.
Assine nosso Feed RSSAs últimas | Informática
19/09/2018 | Grupo Renault Nissan terá sistema operacional Android em seus carros
18/09/2018 | A corrida para a criação do computador mais poderoso da história
11/06/2018 | Google tira ovos de emoji de salada para agradar veganos
As mais lidas de Informática
Relação não gerada ainda
As mais lidas no Geral
Relação não gerada ainda