segunda-feira, 21 de janeiro de 2013

Atualização deixa Java mais seguro, mas ainda é melhor desativar



Configuração do Java é insegura e erro pode impedir gravação de mudanças. (Foto: Reprodução)
Já recomendamos desativar o Java no navegador web principal e manter um segundo navegador com Java habilitado para visitar com ele somente os sites que necessitam de Java. O que motivou essa recomendação – que é incomum para a coluna – foi os diversos problemas de segurança e de projeto do Java. Felizmente, a Oracle, que desenvolve o software, resolveu alguns problemas, mas ainda seguem outros. Vamos ver hoje o que mudou.
Java é uma linguagem de programação e também o nome popular de um software necessário para usar os programas feitos em Java (a própria Oracle, por exemplo, usa expressões como “faça o download do Java”). Esse software é o Java Runtime Environment (JRE). O JRE, além de viabilizar a execução de programas em Java no PC, que incluem aplicativos como Minecraft, JDownloader e Vuze, também possui um componente extra para executar aplicativos em Java diretamente a partir do navegador.
É esse componente que faz parte do navegador web que viabiliza ataques, pois uma página maliciosa é capaz de explorar problemas no Java ou a falta de atenção do internauta para instalar vírus no sistema. Para piorar, o pesquisador de segurança Adam Gowdiak afirmou que já encontrou duas novas vulnerabilidades no Java e comunicou a Oracle, que agora deverá produzir mais uma atualização. (Veja aqui o relato de Gowdiak, em inglês.)
Para saber como desativar o Java, veja o final da coluna. Mas, primeiro, vamos analisar alguns aspectos do Java para saber quais são os problemas do JRE e como usá-lo com mais segurança.
Escapando do isolamento
Java é capaz de realizar modificações no sistema operacional e interagir com dados armazenados no PC. Isso não pode ser dito, por exemplo, do Flash, outro plug-in comum em navegadores. Esse comportamento do Java é indesejado e, por esse motivo, o Java usa um recurso chamado “sandbox” para isolar os aplicativos em Java executados no navegador (chamados de applets).
No entanto, applets podem “escapar” do sandbox usando falhas de segurança ou obtendo permissão do internauta.
Autorizando um applet
Para autorizar um applet, o Java costumava exibir a seguinte janela:
Antigo aviso de execução de applets. (Foto: Reprodução)
Agora, o Java está exibindo uma janela diferente, que requer pelo menos dois cliques para executar um aplicativo. O Java também não exibe mais o nome do “Editor” do software quando o applet não estiver com uma assinatura digital válida – chamados de applets “autoassinados”. Em um applet autoassinado, o “editor” do software pode ser falsificado. É normal encontrar applets criados por hackers em que o editor era “Microsoft” ou outro nome semelhante para que o internauta autorizasse. Agora, o editor aparece como “desconhecido” – uma melhora importante.
Aviso para execução de applet novo. (Foto: Reprodução)
O ideal seria que applets sem assinatura digital válida não fossem executados no navegador. Uma tecnologia concorrente do Java, o ActiveX, da Microsoft, é um exemplo: se um componente não tem assinatura digital válida, o internauta não recebe qualquer aviso. Ele é automaticamente rejeitado.
O problema ao permitir applets sem assinatura válida é que mesmo applets legítimos e seguros – como é o caso deste da foto, pertencente ao jogo Minecraft -, não usam assinatura digital. Assim, o usuário é obrigado a aceitar algo de um “editor desconhecido”, o que normalmente não é uma boa ideia.
É importante deixar claro que, fora alguns casos raros, pouquíssimos sites dependem do plug-in do Java que gera esses alertas das imagens. O usuário está muito mais sujeito a visitar sem querer sites maliciosos que usam o plug-in do Java do que sites legítimos.
Falhas de segurança
Janela de aviso do Controle de Contas de Usuário do Jucheck. (Foto: Reprodução)
Um applet pode utilizar uma falha de segurança e escapar do isolamento do Java sem que o internauta possa negar ou autorizar qualquer ação. Brechas existem em qualquer software e os desenvolvedores precisam corrigir as falhas. Embora as falhas do Java não sejam poucas, a Oracle, que é responsável, corrige todas elas. O problema, nesse caso, é aplicar a atualização que corrige a falha.
Enquanto alguns mecanismos de atualização funcionam de forma 100% automática (caso do Windows, do Google Chrome, do Firefox e do Adobe Flash e do Adobe Reader), o Java não é tão conveniente.
Primeiro, é preciso aceitar um aviso do “Controle de Contas do Usuário”, que aparece “do nada” durante o uso do computador.
Depois, é preciso clicar no ícone do Java, que fica na barra de tarefas. Nesse momento aparece uma janela informando que existe uma nova versão do Java. Na janela, é preciso clicar em “Instalar”. Em seguida, “Instalar” novamente.
Atualização do Java requer vários cliques e pode até solicitar instalação de software desnecessário. (Foto: Reprodução)
Depois, o Java pode oferecer a instalação de uma barra de ferramentas para o navegador de internet, que também modifica o provedor de pesquisa para a Ask.com. Esse software não faz parte do Java e provavelmente você não quer que ele seja instalado.
Depois de mais alguns passos, finalmente o Java será atualizado. Esses passos terão de ser repetidos a cada nova atualização.
Múltiplas versões
Alguns softwares programados em Java não funcionam bem nas versões mais novas do Java, o que requer a instalação de uma versão antiga. Por isso, costumava ser o caso que o Java deixava todas as versões anteriores instaladas no computador, e ficava a cargo do site definir em qual versão ele desejava que um applet fosse executado. Os criminosos utilizavam esse recurso para sempre executar o applet com uma versão vulnerável do Java, conseguindo, com isso, explorar uma brecha mesmo no caso de o usuário já ter instalado uma versão atualizada e livre da vulnerabilidade.
Agora, ainda pode acontecer de versões anteriores do Java ficarem no sistema, e ainda é possível que um site tente usar essas versões antigas. Nesse caso, porém, o Java ainda pede uma confirmação adicional antes de executar um applet.
No entanto, o atualizador do Java nem sempre consegue detectar todas as atualizações. Por exemplo, em um sistema onde está instalando o Java 7, o atualizador do Java pode não conseguir instalar atualizações de segurança do Java 6, deixando essa instalação sempre vulnerável. Em um teste da coluna Segurança Digital, este sistema, da foto abaixo, que está com o Java 6 Atualização 37 (1.6.0_37) não conseguiu detectar a atualização existente para o Java 6 Atualização 38.
Sem saber, você pode acabar com diferentes versões do Java instaladas. (Foto: Reprodução)
Recomendações
Os problemas de segurança do plug-in do Java, somados aos poucos sites que fazem uso da tecnologia dele, levam às seguintes recomendações:
  • Desative o Java em seu navegador web principal. Deixe-o ativado em um navegador secundário. Por exemplo, se você usa principalmente o Chrome, deixe o Java desativado no Chrome, mas deixe-o ativado no Internet Explorer no caso de ele ser necessário.
  • Mantenha o Java atualizado modificando a configuração padrão de atualização de mensalmente para diariamente. Depois de uma atualização, revise as configurações do navegador. O Java pode ter sido reativado.
  • Caso queira manter o Java ativado, use a segurança no nível “muito alta” e só autorize applets que realmente confia.
Configurando o Java
No Painel de Controle do Windows existe uma opção do Java. Acesse-a.
Aba Atualizar: Clique em Avançado. Selecione “Diariamente”. Clique em OK.
Aba Segurança: Deixe o nível de segurança em “Muito Alta”. Para desativar o Java em todos os navegadores definitivamente, desmarque a caixa “Ativar conteúdo Java no browser”. Esta opção não é recomendada a não ser que você realmente nunca utilize Java no navegador, pois é preciso reiniciar o navegador para ativar e desativar a opção.
ERROS DO JAVA: Pode acontecer de o ícone do Java não aparecer no Painel de Controle. Além disso, pode acontecer de a frequência de atualização configurada não ser salva. Isso se deve a erros no Java. Para resolver isso, vá até a pasta “C:\Arquivos de Programas (x86)\Java\jre7\bin” ou “C:\Arquivos de Programas\Java\jre7\bin” e execute o programa “javacpl”. Nos Windows Vista/7 ou em um Windows XP com conta limitada, clique com o botão direito no programa e selecione “Executar como administrador” (Windows 7) ou “Executar como” e insira a senha de administrador (Windows XP).
Desativando o Java em navegadores específicos

Janela de complementos no Internet Explorer. (Foto: Reprodução)
Internet Explorer: (aperte a tecla ALT para ver o menu, se necessário) Ferramentas, Opções da Internet. Na aba “Programas”, clique no botão Gerenciar complementos. Na lista, procure o Java. Selecione todas as opções do Java (usando SHIFT e CTRL, ou então uma de cada vez) e acione o botão Desabilitar. Reinicie o navegador. Se o Java não estiver sendo exibido, verifique se a opção “Todos os complementos” está selecionada no menu rotulado “Mostrar” na parte esquerda da tela. (A opção “Desativar scripts de miniaplicativos Java”, nas zonas de segurança, também não funciona, apesar do nome).
Configuração dos complementos no Firefox. (Foto: Reprodução)
Firefox: Acesse o menu “Firefox” e então “Complementos”. Clique em “Desativar” em todas as opções relacionadas ao Java nos plugins.
Chrome: É preciso acessar o endereço chrome://plugins. O Java estará na lista. Basta desativar.
Read More

Atualização para Windows 8 Pro ficará quase nove vezes mais cara em fevereiro

Os usuários de computadores com Windows que decidirem atualizar a máquina para a nova versão do sistema pagarão mais caro para obter o Windows 8 a partir de fevereiro. Atualmente disponível por R$ 69, a atualização do Windows 8 Pro custará R$ 610 a partir de 31 de janeiro, último dia da promoção de lançamento da Microsoft. Com a mudança, o Windows 8 ficará quase nove vezes mais caro do que no período promocional.
Divulgação
Atualização para Windows 8 Pro custará R$ 610 no Brasil a partir de fevereiro
A versão Pro, destinada a profissionais, está disponível apenas para usuários de PCs que rodem Windows 7, Vista ou XP, e só é vendida por meio do site oficial da Microsoft.
Atualmente, a empresa ainda não oferece a versão do Windows 8 para usuários domésticos e ainda não divulgou quando o preço ou quando ela estará disponível. A Microsoft também não oferece a versão completa do Windows 8, destinada a usuários de outros sistemas, como MacOS e Linux.
Durante o lançamento do Windows 8 no Brasil no final do outubro de 2012, Priscyla Alves, gerente-geral da Microsoft para Windows no Brasil, afirmou que a versão para usuários domésticos poderia começar a ser vendida após o período promocional do Windows 8 Pro. "Vamos esperar o final da promoção do Windows 8 Pro para depois começar a oferecer o Windows 8", disse a executiva.
Procurada pelo iG , a Microsoft afirmou nesta segunda-feira (21), por meio de sua assessoria de imprensa, "que não tem informações do Brasil para dividir no momento". Nos Estados Unidos, o preço da atualização para Windows 8 Pro subirá de US$ 40 para US$ 200. Os usuários terão a opção de comprar a versão para usuários domesticos do Windows 8 por US$ 120.
Atualização por R$ 29
Vale lembrar que os consumidores que compraram computadores com sistema operacional Windows 7 entre 2 de junho de 2012 e 31 de janeiro de 2013 terão direito a fazer a atualização para Windows 8 pelo preço de R$ 29 . Para participar do programa de atualização, o consumidores precisa comprar um computador que use as versões Home Basic, Home Premium, Professional ou Ultimate do Windows 7.
Para participar da promoção, os consumidores precisam fazer um cadastro no site Microsoft Upgrade Offer para registrar e validar a versão do sistema a ser substituída.
Read More

Com shows e falsa operação do FBI, Kim Dotcom apresenta novo Megaupload

Neste sábado (19), exatamente um ano após o fechamento do Megaupload, seu excêntrico fundador, o empresário alemão Kim Dotcom, anunciou a nova versão do serviço, batizado de Mega. Nas primeiras 14 horas de funcionamento, o Mega obteve mais de 500 mil usuários cadastrados. O serviço oferece 50 GB de espaço grátis para guardar arquivos na web.


Como de hábito, Dotcom fez um evento extravagante. O lançamento do Mega teve apresentações de um grupo de música típica da Nova Zelândia e de comediantes, antes da entrada no palco do empresário.


Em seu discurso, Dotcom se disse vítima de ações ilegais do governo americano "O FBI confiscou nossos servidores e nos prendeu sem nos dar a chance de apresentarmos nosso lado em um tribunal. A privacidade de nossos usuários foi violada", afirmou.
Com pose de estadista, ele também atacou o governo dos Estados Unidos e a indústria de entretenimento. "A internet não pertence a nenhuma pessoa, empresa ou governo", disse. Dotcom afirmou ainda que "aqueles que usam leis de direitos autorais como armas para sufocar a inovação serão abandonados no meio da estrada da História".
No fim do discurso, houve uma encenação da operação do FBI que prendeu Dotcom há um ano. Atores vestidos de soldados desceram pelas paredes da Mansão Dotcom e fingiram prender os convidados. A encenação teve direito até a um helicóptero com a sigla FBI.
Mega protege arquivos com criptografia
O principal diferencial do novo serviço de hospedagem Mega é a privacidade. Todos os arquivos hospedados no serviço são criptografados. Assim, apenas quem publicou o arquivo pode ver seu conteúdo. Nem os responsáveis pelos servidores têm acesso ao conteúdo dos arquivos, já que apenas o dono tem a chave criptográfica para abri-los.
Em seu discurso, Dotcom citou a Declaração Universal dos Direitos Humanos, criada pela ONU, para reforçar o argumento de que todos têm direito à privacidade. "Privacidade é um direito básico do ser humano, mas é cada vez mais difícil se comunicar privadamente. Empresas coletam cada vez mais dados de seus usuários. A pedido da indústria de mídia, provedores inspecionam seus arquivos. Empresas de hospedagem vendem discos usados com seus dados para outras empresas", enumerou Dotcom.
Segundo Dotcom, o Mega é uma resposta à perda de privacidade. "Ao usar o Mega, você diz 'não' a governos que querem espioná-lo", disse.
O caso Megaupload
O serviço de compartilhamento de arquivos Megaupload foi fechado no dia 19 de janeiro de 2012 em uma operação comandada pelo FBI. Naquele dia, o FBI acusou formalmente Kim Dotcom e seus sócios de vários crimes, incluindo violação de direitos autorais e lavagem de dinheiro.
No mesmo momento em que os servidores do Megaupload eram confiscados nos Estados Unidos e em outros países, Kim Dotcom era preso na Nova Zelândia, onde mora. Sua mansão foi alvo de uma megaoperação envolvendo dezenas de polícias das Forças Especiais da Nova Zelândia, cães, helicópteros e carros blindados. O excesso de força da operação foi posteriormente questionado por autoridades neozelandesas, já que Kim Dotcom não possuía histórico de violência.
Dotcom passou algumas semanas preso e atualmente está em regime de prisão domiciliar. Ele aguarda julgamento do processo de extradição para os Estados Unidos, pedido pelo FBI. Autoridades americanas querem que ele seja enviado aos Estados Unidos para responder às acusações. 
Veja o lançamento do Mega 
 
Read More
Assinar: Postagens (Atom)
Mello Comunicação Visual

* Banner

* Fachadas

* Plotter recorte ( adesivos personalizados )

* Convites, papel arroz personalizado.

* Papel adesivo e fotográfico.

* Assessoria

* Desenvolvemos Site e Blogs perssonalizados

* Software perssonalizados

* Formatação

* Instalação de programas e Sistemas Operacionais

* Implementação de rede ( cabeada / Wirelles )

* Instalação de hardware e software

* Limpeza

* Recuperação de dados

* Manutenção em geral

* Contrato de Manutenção de Micros

* Escolas
* Empresas
* Escritórios
* Residências


Rapidez,eficiencia,qualidade e tecnologia.

Profissional capacitado para melhor lhe atender e cuidar da vida útil do seu PC

Email - manu.tencaodepc@hotmail.com
caxamello@hotmail.com
Twitter.com/Alex_Melllo

Tel - 73 8804 5310
73 9125 4509