Vídeo: Como ATIVAR ou DESATIVAR o JavaScript no Google Chrome – ATUALIZADO 2018 (Novembro 2024)
Java está sob ataque.
Não apenas dos chapéus pretos que estão criando drive-by-downloads, anexos maliciosos e outros ataques que exploram as vulnerabilidades da tecnologia, mas também dos chapéus brancos que argumentam que os usuários não deveriam usá-lo. Mesmo depois que a Oracle corrigiu o último lote de vulnerabilidades de dia zero em Java, a Equipe de Prontidão de Emergência em Computadores do Departamento de Homeland Security (US-CERT) recomendou que os usuários desativassem o Java.
Assim como o Flash da Adobe, o Java é um alvo popular por causa de sua base instalada tremendamente grande. Se você realmente não usa sites que exigem Java, vá em frente e despeje-o. Temos até um bom conjunto de instruções sobre como desativar o Java no seu navegador.
Mas eu uso Java!
Depois, há o resto de nós que realmente usa Java regularmente.
"Duvido que qualquer pessoa que preste atenção nos conselhos de segurança esteja executando o Java, IE 6/7/8, etc. Porque eles querem - nós executamos essas coisas porque precisamos, e a decisão está fora de nosso controle". o guru da segurança Jack Daniel escreveu em Uncommon Sense Security.
Quando olhei em volta para ver quais aplicativos usavam Java, percebi que muitos aplicativos populares de desktop se encaixavam na conta, incluindo alternativas do Office, ThinkFree Office, LibreOffice e OpenOffice, além de jogos populares como o Minecraft. Vários aplicativos da Adobe também exigem que o Java execute determinados componentes. Não há com que se preocupar, pois esses são aplicativos Java independentes e não os que são executados no navegador da Web.. Se você seguiu nossas instruções passo a passo, desabilitou o Java apenas no navegador. Aplicativos locais ainda funcionarão bem.
Mas acontece que existem muitos sites e empresas de jogos que ainda usam Java. Serviços bancários especializados, como o Citi Private Bank, que combina investimentos e bancos tradicionais em uma conta, parecem ser um exemplo. Serviços em nuvem, como o Box.net, fornecem ferramentas de upload de arquivos em massa com Java. Citrix e Cisco oferecem produtos VPN SSL sem cliente, o que permite aos usuários estabelecer um túnel VPN de acesso remoto seguro usando um navegador da Web habilitado para Java.
Você é estudante? Provavelmente, sua escola usa o Blackboard, que requer a versão mais recente do plug-in Java para fazer upload de arquivos e anexos, usar o recurso de bate-papo em tempo real Virtual Classroom e ativar certos recursos interativos na plataforma.
O Pogo.com e o KidsPlayPark.com oferecem jogos Java online. Muitos usuários do Pogo, preocupados com as ameaças mais recentes, parecem ter substituído o Java 7 pelo Java 6 (que a Oracle não dará mais suporte a partir de fevereiro), de acordo com postagens nos fóruns de usuários. Só para você saber, é uma ideia espetacularmente ruim. Existem muitos ataques direcionados a softwares desatualizados; não há necessidade de arriscar um conjunto totalmente diferente de ataques apenas para evitar a colheita mais recente.
Quais são as alternativas para a TI?
"Se você possui aplicativos críticos para os negócios que exigem Java: tente encontrar um substituto", escreveu Johannes Ullrich, do SANS Institute, no blog Internet Storm Center na semana passada.
As plataformas de conferência na Web parecem ser os maiores obstáculos. O WebEx e o Citrix GoToMeeting da Cisco exigiam Java, mas ambas as plataformas modificaram recentemente seus aplicativos para usar uma versão diferente, caso não consiga encontrar o Java. A Citrix disse que estava no processo de eliminar completamente o Java. Outros no espaço, no entanto, incluindo MeetingBurner e OmniJoin da Brother, ainda usam Java. Join.me, ClickMeeting e ReadyTalk são baseados em Flash.
Embora as ferramentas de acesso remoto fossem predominantemente baseadas em Java, há uma lista crescente de alternativas que podem ser usadas para suporte técnico, disse Chet Wisniewski, consultor de segurança da Sophos, à SecurityWatch . Clientes de área de trabalho remota também são incorporados ao Mac OS X e Windows.
"Para apoiar minha mãe e meu pai, eu uso a versão gratuita do LogMeIn", disse ele. O LogMeIn Free usa ActiveX.
E se eu não conseguir mudar?
Para muitas empresas, "não há alternativa", disse Thomas Kristensen, CSO da Secunia, ao SecurityWatch . Embora possa ser possível substituir alguns aplicativos, em geral, os administradores precisarão encontrar outras maneiras de proteger seus funcionários. Uma maneira de reduzir a superfície de ataque é ativar o Java apenas para aqueles que realmente precisam e desativá-lo para todos os outros, disse Kristensen.
Em vez de pedir aos funcionários que parem de usar Java, as organizações devem se concentrar em "bolhas" para proteger os usuários, disse Anup Ghosh, da Invincea, ao SecurityWatch . Os usuários podem navegar na Web por meio de um navegador virtualizado e, se encontrarem sites maliciosos, abrirem acidentalmente um arquivo com armadilha ou tentarem fazer download de malware, o ambiente virtual impediria a execução do ataque na máquina real. No segundo em que o navegador virtual é fechado, o ataque é removido. E o melhor de tudo, um navegador virtual o protegeria de uma ampla gama de ameaças, não apenas baseadas em Java.
Os usuários podem adotar um sistema de dois navegadores. Se você normalmente navega na Web com o Firefox, por exemplo, considere desativar o plug-in Java no Firefox. Em seguida, ative o Java em um navegador alternativo, como Chrome, IE9, Safari etc., e navegue apenas para sites que precisam de Java e nunca para navegação geral na Web.
"É melhor ativar o Java em um navegador e usá-lo apenas em sites que não funcionarão sem ele", disse Wisniewski.
Os invasores gostam de mudar de alvo - Flash, Internet Explorer, Adobe Reader. "Todo mundo tem um dia zero de uma vez ou outra", escreveu Rob VandenBrink, da Metafore, no Internet Storm Center.
Desabilitar o Java é apenas uma maneira de se defender contra ameaças da Web, mas não uma solução universal. As organizações podem limitar sua exposição e adotar práticas de segurança, como filtragem na Web e ter usuários executando com privilégios limitados, para bloquear ataques, disse ele.
"Pare de apontar o dedo e faça recomendações gerais que não podem ser seguidas", escreveu VandenBrink.
Para mais informações sobre Fahmida, siga-a no Twitter @zdFYRashid.