AINDA SOBRE O JAVA

AQUELES QUE CONTAM AS HISTÓRIAS CONTROLAM A SOCIEDADE.

Vimos que o JAVA é uma plataforma/linguagem de programação largamente utilizada em computadores, datacenters, celulares, smartphones, consoles de jogos, set-top boxes, impressoras, webcams, etc., e que, por ser multiplataforma ― aspecto que o torna extremamente popular e, consequentemente, potencialmente inseguro ― permite criar aplicativos que rodam em praticamente qualquer sistema operacional.

Observação: Softwares desenvolvidos em outras linguagens de programação requerem modificações substanciais para ser compatibilizados com outros sistemas (ou com outras versões do mesmo sistema), mas isso não ocorre no Java, pois a “máquina virtual” faz o papel de ponte entre os programas e o SO.

A instalação do Java fornece o Java Runtime Environment, que inclui a a máquina virtual (JVM) as bibliotecas de suporte da plataforma e o plugin que permite a execução dos applets Java (mini aplicativos) nos diversos navegadores. E é no plugin que mora o perigo, pois a bandidagem explora suas vulnerabilidades para burlar as proteções do sistema operacional (segundo a Kaspersky, ele é um verdadeiro presente para criadores de códigos maliciosos).

Os applets Java não têm permissão para alterar arquivos do sistema, mas o sandbox (mecanismo que limita a execução de funções especiais) está sujeito a erros que podem resultar em brechas de segurança e permitir a instalação de códigos maliciosos. A Oracle ― que encampou a SUN e é atualmente responsável pelo Java ― disponibiliza os remendos conforme as brechas são identificadas, mas a máquina fica vulnerável enquanto eles não são instalados.

Por essas e outras, os especialistas em segurança na Web recomendavam desabilitar o Java (ou mesmo removê-lo do computador), a despeito de haver situações em que os applets eram imprescindíveis, como no caso de serviços bancários, da declaração de imposto de renda, etc. Hoje, no entanto, a maioria dos Bancos já não exige o tal plugin, que também é dispensado pelos navegadores de internet mais populares ― caso do Google Chrome e do Mozilla Firefox.

Se você utiliza a versão de 64-bit do browser da raposa, por exemplo, digite https://www.java.com/pt_BR/ na caixa de endereços, dê Enter, clique em “Eu tenho Java?” e veja que será exibida uma mensagem com os seguintes dizeres: Detectamos que você está usando uma versão de 64 bits do Firefox que não executará o plug-in Java. Use o Painel de Controle Java para localizar a versão do Java instalada. Mais informações. Repita a experiência no Chrome 64-bit e veja que o resultado será parecido (nesse caso, a mensagem diz: O browser Chrome não suporta plug-ins NPAPI e, portanto, não executará todo o conteúdo Java. Alterne para outro browser (Internet Explorer ou Safari no Mac) para executar o plug-in do Java. Mais informações).

Se você realmente precisa do Java, assegure-se de ter a versão mais recente e de remover as anteriores ― potencialmente inseguras ― usando a Ferramenta de Desinstalação do Java). Por conter atualizações de funcionalidades, correções de vulnerabilidades e melhorias de desempenho, use sempre a versão mais recente do Java (para verificar a situação da sua instalação, clique em Verificação do Java ou em Verificando manualmente a versão do Java). Para remover o Java do seu sistema, siga o link desinstalando manualmente o Java para Windows.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

AINDA SOBRE A PRAGA MULTIPLATAFORMA QUE AFETA WINDOWS, MAC OS E LINUX...

A ESPERANÇA É UM MAL QUE NO MAIS DAS VEZES SERVE APENAS PARA PROLONGAR NOSSO TORMENTO.

Como vimos no post anterior, o Windows e o Linux são mais susceptíveis ao Cross RAT porque trazem o Java pré-instalado ― no Mac OS, o download e a instalação são feitos por demanda do usuário. Se você não faz ideia do que sejam kernel e Java, acompanhe uma breve explanação.

O kernel é o “núcleo” do sistema operacional, que é responsável, dentre outras coisas, pela intercomunicação entre o hardware (parte física) e o software (parte lógica) do computador. Cabe a ele gerenciar a máquina e permitir que os aplicativos sejam executados e façam uso dos recursos de hardware disponíveis.

Observação: De certa forma, as atribuições do kernel se confundem com as do BIOS (sigla de Basic Input-Output System), mas o primeiro é parte do sistema operacional (software-mãe), ao passo que o outro é um programinha de baixo nível gravado num chip de memória persistente integrado à placa-mãe do computador. Quando o PC é ligado, o BIOS realiza o POST (auto teste de inicialização), executa o BOOT (mais detalhes nesta postagem), localiza o kernel, carrega-o numa área protegida da memória e dá sequência à inicialização do sistema operacional.

O Java é uma linguagem de programação desenvolvida pela Sun Microsystems na década de 90. O que a torna popular (e, consequentemente, insegura, como veremos mais adiante) é o fato de os programas escritos nessa linguagem serem executados numa Java Virtual Machine. Isso permite aos desenvolvedores criar aplicativos capazes de rodar tanto no Windows quanto no MAC ou no Linux, desde que a JVM esteja instalada.

Sobre a questão da segurança, o problema não está na linguagem em si, mas no plugin ― também chamado de extensão ou add-on ―, que serve para ampliar os recursos e funções de determinados aplicativos como navegadores de internet.

Amanhã a gente continua. Até lá.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

JAVA, JAVASCRIPT, PLUG-IN DO JAVA E SEGURANÇA DIGITAL (conclusão)

O FATO DE O PASSADO NÃO TER SIDO COMO VOCÊ GOSTARIA NÃO SIGNIFICA OBRIGATORIAMENTE QUE O FUTURO NÃO SERÁ MELHOR DO QUE VOCÊ IMAGINA.

O plug-in do Java faz parte do Java Runtime Environment (JRE) e é responsável pela execução de applets Java “dentro dos navegadores”. Sua remoção (ou desativação) compromete a exibição de webpages que se valem desse recurso para executar conteúdo interativo, embora seja recomendável do ponto de vista da segurança, já que esse recurso é amplamente explorado por sites mal intencionados. Aliás, resguardadas as devidas proporções, o mesmo se aplica ao Adobe Flash Player, que também é especialmente visado pelos programadores “do mal”, mas isso fica para uma outra vez.

Como medida de segurança preventiva, muitos websites vêm abandonando os applets Java ou limitando seu uso a conteúdos muito específicos. A própria Fundação Mozilla suspendeu o funcionamento automático de algumas versões do plug-in em questão no Firefox, conquanto seja possível utilizá-lo em sites confiáveis (para saber como, clique aqui). A solução que me parece mais sensata todavia, é cada usuário proceder conforme suas necessidades, ou seja, desabilitar dito-cujo ou mantê-lo ativo num único browser e reservá-lo para navegar em sites que dependem do recurso para funcionar corretamente.

Observação: Note que o Java de que falamos não é o JavaScript (linguagem de programação que pode ser incluída em páginas web para fornecer funcionalidades como menus, sons e outros recursos interativos). No entanto, este último também desperta cuidados, de modo que, para melhor controle, podemos instalar extensões de privacidade como o NoScript (que nos permite escolher quais sites terão o JavaScript liberado) e o Ghostery (que permite bloquear os scripts de empresas pouco confiáveis).

Para desativar o plug-in do Java no Internet Explorer, clique em Ferramentas > Opções da Internet > Programas > Gerenciar complementos, localize a opção Java, desabilite os complementos a ela relacionados e reinicie o navegador (pode ser necessário marcar a opção Todos os complementos no menu Mostrar, na porção esquerda da tela). No Chrome, digite chrome://plug-ins na barra de endereços, localize o Java na lista e clique em Desativar, e no Firefox, clique no menu Ferramentas, selecione Complementos, Plug-ins, localize as opções relacionadas ao Java e clique em Desativar.

Como dito na postagem de anteontem, é imprescindível atualizar o Java sempre que a Oracle disponibilizar correções/novas versões ─ recomendação, aliás, que vale para qualquer software, como nosso leitor habitual está careca de saber ─, bem como desinstalar as versões potencialmente inseguras. Para conferir se você tem a versão mais recente do Java (que era a 8 update 40 quando eu criei esta postagem), basta acessar www.java.com, clicar no link EU TENHO JAVA? e seguir as instruções na tela. Se for preciso instalar ou atualizar o programa, clique em DOWNLOAD GRATUITO DO JAVA e em CONCORDAR E INSTALAR O DOWNLOAD GRATUITO, aguarde a descarga dos arquivos, feche o navegado, dê início à instalação e siga as instruções do assistente. Já para removê-lo do computador ou eliminar versões antigas potencialmente inseguras, é só proceder como em relação a qualquer outro aplicativo ─ ou seja, recorrer ao snap-in Programas e Recursos do Painel de Controle do Windows ou utilizar uma ferramenta de terceiros, como o Revo Uninstaller ou o IObit Uninstaller (para mais informações, clique aqui).

Por último, mas nem por isso menos importante, de uns tempos para cá a Oracle vem incluindo nos arquivos de instalação/atualização do Java o nosso velho conhecido ASK.com, que cria uma barra de ferramentas no navegador e sequestra tanto a página inicial quanto o mecanismo de buscas. Não vou aqui discutir nem muito menos questionar o tipo de acordo comercial que levou a empresa a tanto, mas apenas lembrar aos leitores que a remoção desse crapware costuma dar um baile em quem não conhece o caminho das pedras, pois geralmente não adianta restabelecer o status quo ante pelas vias convencionais  ─ há casos em que só é possível se livrar desse crapware desinstalando o aplicativo que o introduziu ou mesmo o próprio navegador (para saber mais, clique aqui). Então, para não ser pego no contrapé, acompanhe atentamente a atualização do Java para declinar em tempo hábil do add-on indesejado. Melhor ainda é abrir o snap-in do Java e, na janela do seu Painel de Controle, clicar na aba Avançado, descer a tela a tela até o último campo (Diversos), marcar a opção Suprimir ofertas do patrocinador ao instalar ou atualizar o Java e confirmar em OK.

Abraços a todos e até mais ler.

JAVA, JAVA SCRIPT, PLUG-IN DO JAVA E SEGURANÇA DIGITAL

CENÁRIO POLÍTICO NACIONAL: COM BRASILEIROS ASSIM - TANTO NO ÂMBITO DOS ELEITORES QUANTO NO DOS ELEITOS - FICAM UM GRANDE CANSAÇO E UMA DESESPERANÇA SEM FIM.

 Além de designar a principal ilha da Indonésia, o nome Java remete a uma plataforma/linguagem de programação orientada ao objeto desenvolvida pela SUN na década de 90. Sua principal vantagem é permitir a criação de aplicativos capazes de rodar em praticamente qualquer sistema operacional, o que a torna amplamente utilizada em computadores, datacenters, celulares, smartphones, consoles de jogos, set-top boxes, impressoras, webcams etc. 

Além de bibliotecas de suporte da plataforma e o plug-in que permite a execução dos applets Java nos navegadores, o Java Runtime Environment integra uma máquina virtual (Java Virtual Machine) que atua como interprete entre os programas e o sistema operacional, ao passo que softwares escritos em outras linguagens requerem modificações substanciais para se compatibilizar com outros sistemas (ou outra versão de um mesmo sistema, em certos casos).

Muito se vem falando sobre a insegurança do JAVA, mas é preciso deixar claro que o “X” da questão não é a linguagem em si, mas o plug-in, que pode apresentar vulnerabilidades das quais a bandidagem digital se aproveita para burlar as proteções dos sistemas. Segundo a conceituada empresa de segurança russa KASPERSKY, uma das vulnerabilidades mais comuns em PCs tem a ver com brechas no Java Runtime Environment, que podem ser exploradas por sites maliciosos através do tal plug-in.

Observação: Convém lembrar que os softwares atuais são obras complexas de engenharia computacional, e como a quantidade de bugs (erros) tende a crescer conforme o número de linhas de código aumenta, a conclusão é óbvia. Então, em vez de criar apelidos jocosos para o Windows ─ como “Ruindows” ou “colcha de retalhos” ─ devido à quantidade de remendos que a Microsoft disponibiliza regularmente para fechar brechas e corrigir bugs, mais vale o usuário fazer sua parte e instalá-los. E o mesmo vale para os demais aplicativos.

Os applets Java não têm permissão para alterar arquivos do sistema, mas o mecanismo que limita a execução de funções especiais está sujeito a falhas que podem resultar em brechas de segurança e permitir a instalação de códigos maliciosos. A Oracle ─ que adquiriu a Sun Microsystems em 2010 e atualmente é a responsável pelo Java ─ conserta as vulnerabilidades conforme elas são identificadas, mas o miniaplicativo criado no Painel de Controle do Windows, quando da instalação do programa, vem configurado para buscar atualizações somente uma vez por mês. Por conta disso, o usuário pode passar semanas usando uma versão insegura, e ainda que a aba Atualizações permita ajustar a periodicidade e o horário em que a busca deve ser empreendida, isso nem sempre funciona, de modo que o melhor a fazer é buscar atualizações manualmente pelo menos uma vez por semana.

Observação: Embora essa questão tenha sido abordada uma porção de vezes, não custa repetir, em atenção aos esquecidos e aos recém-chegados, que as atualizações automáticas do Windows e o Windows Update/Microsoft Update contemplam somente o sistema, seus componentes e outros produtos Microsoft, como o MS Office. Para atualizar os demais aplicativos sem grande trabalho, recorra a freewares como o FileHippo App Manager ou o OUTADATEfighter, dentre diversas outras opções disponíveis no SUPERDOWNLOADS, BAIXAKI, ALLMYAPPS PC MANAGER e outros repositórios que tais.

Tudo isso é muito interessante (ou nem tanto), dirá o leitor, mas a pergunta é: devemos ou não desabilitar o plug-in do Java em nossos navegadores? Por uma questão de espaço, a resposta fica para a próxima postagem. Abraços a todos e até lá.

SEGURANÇA DIGITAL - DICAS PARA NETBANKING E COMPRAS ONLINE

A ESTRADA PARA O INFERNO É PAVIMENTADA DE BOAS INTENÇÕES.

A popularização da Internet e da Web – que é sua porção multimídia – nos brinda com inúmeras facilidades, mas tudo que é desenvolvido para fins legítimos não demora a ser empregado em projetos menos nobres, digamos assim.

 A mesma faca de açougueiro que tira o miolo da alcatra pode furar o fígado de um desafeto, ou seja, a finalidade para a qual um recurso é logo desvirtuada, e outras possibilidades surgem, como num passe de mágica.
Veja o caso do correio eletrônico, por exemplo, que se mostrou uma excelente alternativa ao serviço postal convencional. Além de chegar ao destinatário em questão de segundos, a mensagem é igualmente capaz de transportar praticamente qualquer tipo de arquivo que lhe for anexado (textos, fotos, vídeos, apresentações, músicas, e por aí vai), condenando o FAX (fac-símile) à aposentadoria compulsória bem antes do que seria de se esperar.
Em contrapartida, eu jamais ouvi falar em vírus eletrônico transmitido por faz...
Outra facilidade incorporada ao nosso quotidiano pela Internet é o netbanking. Há décadas que a tecnologia bancária criou terminais de auto-atendimento, que a princípio eram posicionados estrategicamente dentro das próprias agências, visando agilizar a consulta de saldos e extratos. No entanto, após se tornarem capazes de realizar outras tarefas (como pagamentos, depósitos, saques, transferências, etc.), eles foram espalhados por shopping centers, hipermercados, postos de combustível e outros locais de grande movimento, onde o cliente pode realizar transações inclusive fora do expediente bancário. Mas nada disso se compara ao netbanking, que agrega o conforto de realizar essas e outras operações a partir de casa ou do escritório e em qualquer horário, bastando para tanto uma conexão ativa, um computador de mesa ou portátil, ou mesmo um tablet ou smartphone.
Só que nem tudo são flores nesse jardim: logo esses "postos bancários avançados", por assim dizer, tornaram-se alvo do cybercriminosos e seus chupa-cabras, cartões clonados, sequestros-relâmpago e outras maracutaias destinadas esvaziar o bolso dos incautos. Para piorar, a única maneira de obter 100% de garantia contra a ação dos malfeitores seria não realizar transações bancárias online - ou seja, o mesmo que abandonar o correio eletrônico para evitar o malware, o que não se admite em pleno século XXI. Então, vejamos como reduzir os riscos a patamares "mais aceitáveis", por assim dizer:

Por padrão, Bancos não utilizam o Correio Eletrônico para solicitar informações confidenciais ou atualizar dados cadastrais de seus clientes – a não ser, evidentemente, que a mensagem se limite a solicitar seu comparecimento à agência. Por mais legítimo que o email lhe pareça, não responda nem clique em links sem antes verificar sua legitimidade (procure confirmar com o seu gerente ou com algum funcionário do banco em que você confie).

O plugin do Java se tornou um prato cheio para os crackers de plantão, o que resulta no lançamento frequente de atualizações/novas versões. Então, utilize um programinha de atualização automática como FileHippo ou faça verificações manuais ao menos uma vez por semana clicando aqui e no botão "Eu tenho Java?

Vale também desabilitar o complemento e reativá-lo somente quando ele for realmente necessário. No IE, clique no ícone da engrenagem (no canto superior direito da janela), depois em Segurança e em Gerenciar complementos e então ative/desative o Java. No Chrome, digite chrome://plugins na barra de endereços e faça o ajuste desejado a partir da lista de plugins instalados. No Firefox, digite about:plugins e proceda da mesma forma.

Os crackers costumam reproduzir as páginas dos Bancos e induzir os incautos a clicar em links para acessá-las. Até alguns anos atrás a falsificação era grosseira, mas atualmente ela anda difícil de identificar, de modo que convém acessar o site do Banco digitando o URL diretamente na barra de endereços do navegador. Demais disso, jamais acesse sua conta a partir de Lan Houses, Cyber Cafés e afins, bem como usando seu notebook, tablet ou smartphone via redes Wi-Fi públicas (como as de hotéis, aeroportos, lanhouses e afins).

Mantenha seus dados protegidos por senhas fortes e só forneça informações pessoais ao site se o cadeado verde na barra de endereços do navegador indicar o uso de um certificado SSL. Adicionalmente, instale o WOT (que alerta para sites perigosos), o AdBlock (que bloqueia anúncios incômodos e/ou suspeitos), o ViewTru (que permite visualizar o endereço completo de URLs encurtados) e o KB SSL ENFORCER (que força o navegador a usar conexões seguras HTTPS e criptografia SSL em sites que suportem estas tecnologias, evitando que malfeitores interceptem sua conexão.

No caso de compras online, reveja o que foi dito nesta postagem.

Bom dia a todos e até mais ler.

Entre a Cruz e a Caldeirinha

Outra questão suscitada pelo HILTON (vide postagem anterior) remete à conveniência de se desabilitar o plugin do JAVA – providência recomendada por muitos especialistas em segurança. Antes de entrar nesse mérito, todavia, vamos relembrar que o Java é uma plataforma/linguagem de programação criada pela SUN na década de 90 e amplamente utilizada em computadores, datacenters, celulares, smartphones, consoles de jogos, set-top boxes, impressoras, webcams etc. Sua grande vantagem é ser multiplataforma – ou seja, permitir a criação de aplicativos capazes de rodar em praticamente qualquer sistema operacional. Enquanto softwares desenvolvidos em outras linguagens requerem modificações substanciais para se compatibilizar com outros sistemas (ou mesmo com outras versões do mesmo sistema), isso não ocorre no Java, pois uma “máquina virtual” faz o papel de ponte entre os programas e o SO.
Ao fazer o download do Java, obtemos o Java Runtime Environment, que consiste na tal máquina virtual (JVM), as bibliotecas de suporte da plataforma e o plugin que permite a execução dos applets (mini-aplicativos) Java em diversos navegadores.
No que tange à insegurança, o “xis” do problema não está no Java propriamente dito, mas no plugin. Empresas de segurança vêm esse implemento como um dos expedientes mais utilizados para burlar as proteções do sistema operacional. Aliás, segundo a Kaspersky, a vulnerabilidade mais comum em PCs remete justamente a falhas no Java Runtime Environment, que podem ser exploradas por sites maliciosos através do tal plugin (um verdadeiro presente para criadores de códigos maliciosos).

Observação: Convém ter em mente que os softwares atuais são obras complexas de engenharia computacional, e como a quantidade de bugs (erros) tende a crescer na razão direta do aumento do número de linhas de código, a conclusão é óbvia. A propósito, alguns detratores do Windows o apelidaram de “colcha de retalhos” – devido à quantidade de remendos que a Microsoft disponibiliza regularmente para corrigir suas falhas. No entanto, se os desenvolvedores fazem sua parte criando correções para os problemas, cabe-nos fazer a nossa baixando e instalando as correções.

Os applets Java não têm permissão para alterar arquivos do sistema, mas o sandbox (mecanismo que limita a execução de funções especiais) está sujeito a erros que resultam em brechas de segurança e permitem a instalação de códigos maliciosos. A Oracle – atualmente responsável pelo Java – conserta as vulnerabilidades conforme elas são identificadas, mas como o miniaplicativo do Java (criado Painel de Controle do Windows por ocasião da instalação do programa) vem configurado para buscar atualizações somente uma vez por mês, corremos o risco de passar semanas usando uma versão insegura. É certo que sua aba “Atualizações” permite ajustar a periodicidade e o horário em que a busca deva ser empreendida, mas isso nem sempre funciona direito – da mesma forma que o botão “Atualizar agora” e os comandos da aba “Avançados” que permitem desabilitar o plugin no IE e no Firefox. Para piorar, mesmo com a versão mais nova do Java instalada, os applets que rodam dentro do navegador podem “liberar geral” (a tela exibida tem apenas dois botões: “Executar” e “Cancelar”; um clique no botão errado e pronto: o computador está infectado).
Passando agora à “pergunta de ouro”, devemos ou não desabilitar o plugin do Java em nossos navegadores? Infelizmente, a resposta vai além de um simples “sim” ou “não”, pois toda essa conjunção de fatores nos deixa entre a cruz e cruz e a caldeirinha. Desativar um recurso significa abrir mão da sua funcionalidade, mas o procedimento básico para deixar qualquer sistema seguro é desativar tudo aquilo que não usamos.
Navegar na web com o Java habilitado é indiscutivelmente inseguro, notadamente devido a erros no sandbox e à possibilidade de um clique acidental em “Executar”. Por outro lado, há situações em que os applets são imprescindíveis – como no site do Banco do Brasil, onde, até algum tempo atrás, o net banking dependia desse recurso (atualmente, se o acesso for feito via Internet Explorer ou Firefox, o plugin do Java não é necessário). Aliás, a maioria das instituições financeiras vem dispensando o plugin do Java, independentemente da plataforma e/ou navegador, de modo que cada usuário deve proceder conforme suas necessidades. Uma alternativa interessante é usar o Firefox com o plugin NoScript, que permite criar uma lista de sites confiáveis onde o Java será permitido (note, porém, que o plugin do Java precisa estar ativado; somente a opção Proibir Java do NoScript, configurável em “Opções”, na lista de complementos, é que deve ficar desativada).
Enfim, para desativar o plugin do Java no Internet Explorer, clique em Ferramentas > Opções da Internet > Programas > Gerenciar complementos, localize o Java, desabilite os complementos a ele relacionados e reinicie o navegador. (Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu “Mostrar”, na porção esquerda da tela). No Firefox, clique no menu “Ferramentas”, selecione “Complementos”, “Plugins”, localize as opções relacionadas ao Java e clique em “Desativar”. No Chrome, digite chrome://plugins na barra de endereços, localize o Java na lista e clique em Desativar.

Observação: Como programação não é a minha praia, não vou me arriscar a lucubrações que transcendem meus pífios conhecimentos; fica aqui o convite ao meu amigo José Viegas, do Blog Mundo Paspalho, que é especialista no assunto e talvez queira fazer a gentileza de preencher as lacunas.

Um ótimo dia a todos e até mais ler.