quinta-feira, 1 de setembro de 2011

Entre a Cruz e a Caldeirinha

Outra questão suscitada pelo HILTON (vide postagem anterior) remete à conveniência de se desabilitar o plugin do JAVA – providência recomendada por muitos especialistas em segurança. Antes de entrar nesse mérito, todavia, vamos relembrar que o Java é uma plataforma/linguagem de programação criada pela SUN na década de 90 e amplamente utilizada em computadores, datacenters, celulares, smartphones, consoles de jogos, set-top boxes, impressoras, webcams etc. Sua grande vantagem é ser multiplataforma – ou seja, permitir a criação de aplicativos capazes de rodar em praticamente qualquer sistema operacional. Enquanto softwares desenvolvidos em outras linguagens requerem modificações substanciais para se compatibilizar com outros sistemas (ou mesmo com outras versões do mesmo sistema), isso não ocorre no Java, pois uma “máquina virtual” faz o papel de ponte entre os programas e o SO.
Ao fazer o download do Java, obtemos o Java Runtime Environment, que consiste na tal máquina virtual (JVM), as bibliotecas de suporte da plataforma e o plugin que permite a execução dos applets (mini-aplicativos) Java em diversos navegadores.
No que tange à insegurança, o “xis” do problema não está no Java propriamente dito, mas no plugin. Empresas de segurança vêm esse implemento como um dos expedientes mais utilizados para burlar as proteções do sistema operacional. Aliás, segundo a Kaspersky, a vulnerabilidade mais comum em PCs remete justamente a falhas no Java Runtime Environment, que podem ser exploradas por sites maliciosos através do tal plugin (um verdadeiro presente para criadores de códigos maliciosos).

Observação: Convém ter em mente que os softwares atuais são obras complexas de engenharia computacional, e como a quantidade de bugs (erros) tende a crescer na razão direta do aumento do número de linhas de código, a conclusão é óbvia. A propósito, alguns detratores do Windows o apelidaram de “colcha de retalhos” – devido à quantidade de remendos que a Microsoft disponibiliza regularmente para corrigir suas falhas. No entanto, se os desenvolvedores fazem sua parte criando correções para os problemas, cabe-nos fazer a nossa baixando e instalando as correções.

Os applets Java não têm permissão para alterar arquivos do sistema, mas o sandbox (mecanismo que limita a execução de funções especiais) está sujeito a erros que resultam em brechas de segurança e permitem a instalação de códigos maliciosos. A Oracle – atualmente responsável pelo Java – conserta as vulnerabilidades conforme elas são identificadas, mas como o miniaplicativo do Java (criado Painel de Controle do Windows por ocasião da instalação do programa) vem configurado para buscar atualizações somente uma vez por mês, corremos o risco de passar semanas usando uma versão insegura. É certo que sua aba “Atualizações” permite ajustar a periodicidade e o horário em que a busca deva ser empreendida, mas isso nem sempre funciona direito – da mesma forma que o botão “Atualizar agora” e os comandos da aba “Avançados” que permitem desabilitar o plugin no IE e no Firefox. Para piorar, mesmo com a versão mais nova do Java instalada, os applets que rodam dentro do navegador podem “liberar geral” (a tela exibida tem apenas dois botões: “Executar” e “Cancelar”; um clique no botão errado e pronto: o computador está infectado).
Passando agora à “pergunta de ouro”, devemos ou não desabilitar o plugin do Java em nossos navegadores? Infelizmente, a resposta vai além de um simples “sim” ou “não”, pois toda essa conjunção de fatores nos deixa entre a cruz e cruz e a caldeirinha. Desativar um recurso significa abrir mão da sua funcionalidade, mas o procedimento básico para deixar qualquer sistema seguro é desativar tudo aquilo que não usamos.
Navegar na web com o Java habilitado é indiscutivelmente inseguro, notadamente devido a erros no sandbox e à possibilidade de um clique acidental em “Executar”. Por outro lado, há situações em que os applets são imprescindíveis – como no site do Banco do Brasil, onde, até algum tempo atrás, o net banking dependia desse recurso (atualmente, se o acesso for feito via Internet Explorer ou Firefox, o plugin do Java não é necessário). Aliás, a maioria das instituições financeiras vem dispensando o plugin do Java, independentemente da plataforma e/ou navegador, de modo que cada usuário deve proceder conforme suas necessidades. Uma alternativa interessante é usar o Firefox com o plugin NoScript, que permite criar uma lista de sites confiáveis onde o Java será permitido (note, porém, que o plugin do Java precisa estar ativado; somente a opção Proibir Java do NoScript, configurável em “Opções”, na lista de complementos, é que deve ficar desativada).
Enfim, para desativar o plugin do Java no Internet Explorer, clique em Ferramentas > Opções da Internet > Programas > Gerenciar complementos, localize o Java, desabilite os complementos a ele relacionados e reinicie o navegador. (Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu “Mostrar”, na porção esquerda da tela). No Firefox, clique no menu “Ferramentas”, selecione “Complementos”, “Plugins”, localize as opções relacionadas ao Java e clique em “Desativar”. No Chrome, digite chrome://plugins na barra de endereços, localize o Java na lista e clique em Desativar.

Observação: Como programação não é a minha praia, não vou me arriscar a lucubrações que transcendem meus pífios conhecimentos; fica aqui o convite ao meu amigo José Viegas, do Blog Mundo Paspalho, que é especialista no assunto e talvez queira fazer a gentileza de preencher as lacunas.

Um ótimo dia a todos e até mais ler.