Devo realmente remover o Java de todas as minhas máquinas Windows 7 rodando MSE e Chrome?
Richard (via Twitter)
Eu acho que todos devem desinstalar o Java de todos os seus PCs e Macs, e então pensar cuidadosamente se eles precisam adicioná-lo de volta. Se você é um usuário doméstico típico, você provavelmente pode fazer sem ele. Se você é um usuário de negócios, você pode não ter escolha. Muitas empresas têm utilizado a linguagem Java para desenvolver aplicações empresariais que funcionam em servidores, e este Java “server-side” é seguro. É o Java “client-side” executado via plug-ins de navegador web que não é seguro.
Nota que o Java não tem nada a ver com JavaScript, que é outra linguagem usada para desenvolver sites e aplicativos. O JavaScript foi originalmente desenvolvido por uma empresa diferente (Netscape) sob um nome diferente (LiveScript). O nome foi alterado por razões de marketing que desgraçaram tanto as empresas envolvidas, nenhuma das quais sobreviveu.
Java foi notícia este ano por causa de algumas vulnerabilidades de “dia zero” exploradas por autores de malware. (Zero dia significa que não há correção para o buraco, portanto os usuários não podem se proteger atualizando seu software). Isto também aconteceu em agosto passado, e The Register publicou um artigo dizendo Disable Java NOW, os usuários contaram, como o exploit de 0 dia atinge a web.
Na verdade, Java tornou-se o principal veículo para ataques de malware no terceiro trimestre de 2010, quando eles aumentaram 14 vezes, de acordo com o Security Intelligence Report Volume 10 da Microsoft (PDF). As coisas pioraram, e Kaspersky, uma empresa líder em antivírus, apelidou 2012 como o ano das vulnerabilidades Java. Dizia ele: “Os buracos na segurança Java foram responsáveis por 50% dos ataques. Os componentes do Windows e do Internet Explorer só foram explorados em 3% dos incidentes”. Sim, é tão ruim assim.
Por isso eu considero o Java como um risco de segurança desnecessário, e eu o removi de nossos PCs domésticos anos atrás. Havia algumas coisas que eu não podia mais rodar, como o KeepVid para baixar vídeos do YouTube e alguns testes de velocidade ASDL, então eu tinha que encontrar alternativas. Eu sugiro que você faça o mesmo. Viver sem Java é muito menos um desafio do que viver sem o Adobe Flash.
Todos os programas têm bugs e podem ter falhas de segurança, então por que a abordagem Draconian? Lamento dizer que não tenho confiança suficiente na capacidade do Oracle para corrigir isso. O Oracle não escreveu Java, apenas o herdou quando comprou o Sun Microsystems que falhou, e de acordo com o The Register: “O fundador da Metasploit, HD Moore, avisou que a Oracle ainda estava sentada em um acúmulo de falhas de Java que levará até dois anos para consertar, mesmo sem a descoberta de novas falhas”
Oracle é bom em vender produtos de alto preço para grandes empresas, mas Java envolve lidar com até um bilhão de consumidores não pagantes. Na minha opinião, a resposta tardia da Oracle à recente “verdadeira tempestade de fogo da mídia” não faz os ruídos certos sobre a proteção dos consumidores. Ela parece mais preocupada em defender seu lado lucrativo do servidor e negócios Java incorporados.
Então, comece por desativar o Java em todos os seus navegadores. No Internet Explorer 8, por exemplo, selecione Tools e depois Manage Add-ons, e no Google Chrome, digite chrome://plugins na barra de endereços. O blog Naked Security da Sophos tem instruções para os navegadores mais populares.
Eu também recomendo desinstalar quaisquer outras versões do Java que você possa encontrar através do Painel de Controle do Windows. Você pode encontrar três ou quatro: na minha experiência, versões antigas do Java nem sempre são removidas. Depois disso, execute o programa CCleaner gratuito para limpar quaisquer bits deixados para trás. (Se você não tem o CCleaner, baixe do piriform.com, não algum site de esquema ou um anúncio do Google.)
Next, vá para o site java.com e clique no link que diz “Será que eu tenho Java? A resposta deve ser não.
Re-instalar Java
Se você sabe que precisa ter o Java instalado, agora você pode fazer uma instalação limpa da versão mais recente, ou Java 6 para a Atualização 39, ou Java 7 para a Atualização 13. O Java 6 está de saída e não será atualizado novamente. Algumas empresas ficaram com ele, possivelmente por causa da terrível reputação de segurança do Java 7, mas ele tem a maioria das mesmas vulnerabilidades. Usuários de Mac devem atualizar para a Atualização 13 do Java 7 para Mac OS X.
Se você não tem certeza de que precisa do Java, tente rodar seu PC por algumas semanas para ver se você pode passar sem ele. Você receberá uma notificação de qualquer website que precise de um plug-in para o navegador Java. No entanto, você deve instalá-lo a partir de java.com, porque algum malware finge ser atualização Java 11.
Apenas instale Java em um único navegador, e use este navegador apenas para sites Java. Por exemplo, se você normalmente navega na web com IE ou Chrome, instale o plug-in Java no Firefox ou Opera, ou vice versa. Java está sendo atacado, e restringi-lo a um navegador minimiza a “superfície de ataque”.
Ainda isso, sempre que você instalar ou atualizar Java, faça-o com cuidado. A Oracle pode tentar instalar outro software que você definitivamente não quer, como a barra de ferramentas Ask. Ed Bott da ZDNet e Ben Edelman da Harvard Business School analisaram o problema em Um olhar atento sobre como a Oracle instala software enganoso com atualizações Java. Não seja pego.
Java em Macs
Java é um sistema multiplataforma, portanto as mesmas vulnerabilidades podem estar presentes em outros sistemas operacionais além do Windows. Os usuários da Apple também sofreram. Em 2010, por exemplo, houve uma versão Mac OS X do worm Koobface. O Trojan Flashback do Mac do ano passado fez com que mais de 600.000 Macs infectados fossem adicionados a uma botnet, incluindo 274 na cidade natal da Apple, Cupertino.
Apple parou de incluir Java por padrão no OS X 10.7 (Lion), e acabou de usar seu software XProtect para bloquear as versões atuais do Java até que eles fossem corrigidos. Na verdade, ele tratou o Java como malware. Isto protegeu os clientes, mas nem todos ficaram satisfeitos. Depois que o MacWorld UK relatou a história (a Apple proíbe o Java dos Macs, empresas que dependem do Java desprotegido), a editora Karen Haslam quipou no Twitter: “Infelizmente nós somos um dos negócios afetados… talvez a Apple não queira que nós vamos para a imprensa!”
A revistaInfoWorld reclamou que a sabotagem do Java da Apple é um mau negócio de TI. Como a Apple é uma empresa de electrónica de consumo, não espero que se preocupe muito com a TI corporativa.
>
Precauções extras
Pensei que todos deveriam ser livres para correr o sistema operativo e aplicações que quiserem. No entanto, você deve estar ciente que rodar Java no navegador traz riscos extras, e portanto você deve tomar precauções extras.
(1) Sempre rode a última versão do Java e certifique-se de instalar todos os patches. No momento, isso pode significar verificar por atualizações todas as semanas, ou mesmo todos os dias. Você pode fazer isso com o Inspetor de Software Pessoal da Secunia. (Eu não confiaria no actualizador incorporado do Java.)
(2) Execute verificações extra para malware usando um produto anti-vírus diferente daquele que já tem instalado, especialmente se for MSE (Microsoft Security Essentials). Dois bons verificadores independentes gratuitos são Malwarebytes AntiMalware e Kaspersky Security Scan.
(3) Faça backups diários, e mantenha um clone do seu disco rígido. Os PCs são baratos, mas os dados podem ser insubstituíveis.
(3)