Hora de dar boot à Java?

É hora de dar o boot a Java? Os especialistas dizem que sim.

Java, a linguagem de programação projetada para tornar a web divertida e interativa, tornou-se um dos elos mais fracos nas defesas de PCs e Macs contra ameaças externas. Considere a vulnerabilidade Java mais recente, uma fraqueza atualmente sendo explorada por distribuidores de malware: quando a Oracle, fabricante do Java, lançou uma atualização de emergência para consertar o software, os analistas de segurança informaram que até mesmo o código hot-off-the-presses contém vulnerabilidades adicionais.

Mas os problemas de segurança mais recentes com o Java estão longe de ser únicos. A empresa de segurança Sophos, por exemplo, culpa a vulnerabilidade Java subjacente por ataques do malware Flashback em abril passado que infectou um em cada cinco Macs.

[Leia mais: Como remover malware do seu PC com Windows]

Os riscos don ' Não superam as recompensas, dizem especialistas em segurança. "Eu diria que 90 por cento dos usuários não precisam mais de Java", diz Dominique Karg, fundador e diretor de hacking da AlienVault, uma empresa de software de segurança. “Eu me considero um 'usuário avançado' e a última e única vez que percebi que tinha o Java instalado no meu Mac foi quando tive que atualizá-lo.”

Se você possui um PC, você sabe aquele sentimento incômodo de insegurança Pedimos para atualizar o seu PC Windows pela enésima vez. Pode ser apenas moderadamente perturbador, mas é um lembrete mensal de que seu computador e as informações pessoais nele contidas continuam sendo alvo de criminosos.

Ao longo dos anos, tanto a Apple quanto a Microsoft reforçaram as defesas de seus sistemas. O sistema operacional Mac foi quase à prova de balas para vulnerabilidades, e a empresa não envia mais novos dispositivos com Java pré-instalado. A Microsoft fez uma prensa completa para eliminar vulnerabilidades no nível do sistema operacional desde o surto do worm Conficker no final de 2008, e nenhum worm comparável atacou sistemas Windows desde então.

Mozilla e Opera, assim como a Microsoft, fabricante de Internet O Explorer passou a maior parte da década passada fortalecendo seus navegadores contra ataques através de uma série de atualizações implacáveis. A Mozilla, por exemplo, lista 2237 bugs - não todos os bugs de segurança - que foram corrigidos na versão 15 do navegador Firefox, publicada em 28 de agosto.

Mas mesmo que o sistema operacional ea segurança do navegador sejam inspirados no Fort Knox , os bandidos sempre parecem encontrar uma nova lacuna na armadura.

Java: link fraco na cadeia de segurança

Agora que é mais difícil penetrar nos navegadores e no sistema operacional, os ladrões de dados mudaram de tática, visando os dois links mais fracos: plug-ins de navegador ou complementos de terceiros e os próprios usuários. À medida que os plug-ins de terceiros são implementados, o Java continua a ser abusado como um veículo para ataques “drive-by” automatizados, geralmente habilitados por kits de exploração de baixo custo vendidos no mercado negro. A Forbes publicou em março uma lista de preços mostrando o que os compradores nefastos pagarão pelo acesso exclusivo a uma nova vulnerabilidade de dia zero. A recompensa de US $ 40.000 a US $ 100.000 é uma motivação mais do que suficiente para que codificadores de exploração comecem cedo e trabalhem até tarde.

Parte da atração é a onipresença de Java. "É quase um elogio para os desenvolvedores do Java", diz Steve Santorelli, diretor de divulgação global da Team Cymru, uma organização sem fins lucrativos de pesquisa em segurança na Flórida. O Java, ao contrário de qualquer outro plug-in de navegador, é executado em quase todos os sistemas operacionais imagináveis. "Tudo se resume à economia de malware", diz Santorelli. Os autores de malware querem o maior retorno possível de seu investimento em desenvolvimento, o que significa um malware que atinge o mercado mais amplo possível. O Java oferece esse investimento, embora o faça de maneira que (provavelmente) faça o CEO da Oracle, Larry Ellison, se encolher. A Oracle herdou o Java quando adquiriu a Sun Microsystems em 2009, mas a empresa não quis comentar sobre este relatório.

Corrigindo, conectando e aplicando patches Java

Embora a Oracle (e a Sun antes dela) forneça atualizações regulares para corrigir problemas de segurança do Java, manter essas atualizações instaladas nos computadores e dispositivos de todos esses milhões de usuários finais continua sendo um desafio. A empresa de segurança Secunia, que acompanha o software instalado nos PCs dos usuários finais, informa trimestralmente sobre as vulnerabilidades do Java e a rapidez com que elas são consertadas. O Informativo de Segurança do quarto trimestre da empresa para Java relata que em 2011 a Oracle lançou cinco boletins consultivos, alertando para 58 vulnerabilidades envolvendo o Java. Patches ou atualizações estavam disponíveis no dia em que o boletim foi publicado em apenas três dos cinco casos. Durante 2011, 78 por cento dos ataques de malware foram direcionados a aplicativos de terceiros vulneráveis, incluindo Java e Flash e Acrobat da Adobe.

Deixar versões antigas e vulneráveis ​​de qualquer software conectado à Internet instalado em um computador é uma receita para o desastre.

“Em muitos casos, a capacidade de atualização integrada do Java falha completamente, deixando os usuários normais retidos”, diz Darien Kindlund, cientista sênior da empresa anti-malware FireEye.

“Desde a adoção do Windows de 64 bits 7, Java (e outros add-ons, como o Flash) sofrem de fracionamento de 32 bits / 64 bits, ”explica Kindlund. “Só porque você instala uma versão de Java de 64 bits corrigida, isso não significa que você está totalmente protegido, se uma versão de 32 bits vulnerável do Java ainda estiver instalada no sistema (ou vice-versa).”

Karg, da AlienVault, observa que Java não faz mais parte da maioria dos sistemas operacionais. “O Java não deve vir pré-instalado com SOs comuns”, diz Karg. “Ele não vem com o Linux por padrão, e a versão mais recente do Windows também não o agrega.”

Até agora, algumas semanas depois o surto de malware Flashback atingiu o OSX, é bem compreendido que a Apple lança suas próprias atualizações Java, e isso às vezes significa que usuários de Mac não têm acesso à versão mais recente por semanas ou meses depois de seus usuários do Windows.

Java Jitters

Isso tudo deixa em aberto a questão se os usuários finais - ou seja, você - devem deixar o Java no seu computador e talvez desinstalá-lo completamente em vez de atualizá-lo.

“Se você usa o seu PC doméstico para Facebook e YouTube, você ' ainda é interessante para os trapaceiros, mas nada como o nível de interesse se você está gerenciando folha de pagamento ou finanças para um negócio ”, diz Santorelli.

No entanto, Java executa a estrutura subjacente ao sistema operacional Android e é usado por empresas como Citrix para lançar seu GoToMeeting, GoToWebinar e GoT Serviços do oMyPC quando carregados por meio de um navegador

Alguns especialistas recomendam a virtualização como uma solução alternativa para empresas que precisam usar esses serviços baseados em Java. Instalá-lo em uma máquina virtual mantém-lo à distância de sistemas críticos. O usuário doméstico, especialmente um focado no Facebook e na Web, pode dispensar totalmente o Java

Os fãs do HTML 5 apontam para essa alternativa ao fornecimento das funções multimídia que o Java ativou anteriormente no desenvolvimento da Web. É um foco tanto do desenvolvimento da Adobe quanto do trabalho da AT & T, e parece estar ganhando impulso este ano, embora tenha como alvo o Flash mais do que Java.

A questão de manter o Java se resume a “seu perfil de risco e quão crítico esse sistema é ”, diz Santorelli do Team Cymru. "Se as conseqüências de um compromisso seriam catastróficas", desinstale o Java.

Andrew Brandt é um escritor freelancer e especialista em segurança.