Também tem dúvidas? Os comentários estão abertos; participe.
Este primeiro pacotão da coluna Segurança para o PC de outubro responde as seguintes dúvidas: se applets Java são limitados, como podem infectar o sistema? Clicar em “Run” na tela do Java Web Start é sempre errado? Para quem encaminhar arquivos ou e-mails suspeitos? Onde fica o trojan “wuaucldt.exe”, descrito na coluna da semana passada? Confira as respostas.
>>> Como Java applets infectam o computador?
Caro Altieres Rohr, você afirma em sua seção que existe um applet capaz de contaminar um computador. Minha dúvida é: como isso pode ser feito, visto que existe uma proteção do próprio java que previne contra o acesso ao conteúdo de um PC via applet?
André
Para que todos possam entender isso, a coluna vai explicar primeiro o que é o Java.
Normalmente, um software pode ser executado apenas em um único sistema operacional (como o Windows, Linux ou Mac). Isso é um problema, porque requer que o programador faça adaptações em seu aplicativo. No entanto, quem cria aplicações usando o Java terá essa tarefa facilitada, porque o que é feito em Java não é executado diretamente pelo sistema. O usuário instala o JRE (Java Runtime Environment) e este se encarrega de executar o software, ficando de “ponte” entre o programa Java e o sistema operacional.
Usando uma analogia, ele funciona como um tradutor ou intérprete, traduzindo o Java para a linguagem que o sistema operacional entende. Ao invés de programar para o sistema, programa-se para o Java, e o JRE (este, sim, disponível para todos os sistemas) encarrega-se do resto.
É por isso que os programas em Java costumam usar muita memória e processamento – porque não tiram proveito direto dos recursos do sistema, e requerem o uso de um intermediário (o JRE) que também necessita usar memória e CPU. Por outro lado, o Java traz a flexibilidade de poder ser executado em qualquer sistema operacional, o que é altamente desejado em alguns casos.
O Java também permite a execução de programas dentro do navegador web. Esses são chamados de “applets” e, como você bem coloca, André, estão “enjaulados” pelo JRE e não têm acesso aos arquivos do usuário. São inofensivos.
Agora, respondendo sua pergunta: existe a possibilidade de se usar applets certificados digitalmente. Com isso, um applet é “elevado” ao status de aplicação normal, com todos os direitos e permissões, desde que o usuário aceite essa operação. Para proteger o computador contra o uso malicioso desse recurso, o JRE exibe uma janela com as informações da assinatura digital e sua procedência. Infelizmente, a diferença entre um applet com uma assinatura válida (geralmente seguro) e com assinatura falsa (normalmente malicioso) é muito pequena:
Esse applet, do Banco do Brasil, é legítimo e assinado. (Foto: Reprodução)
Esse applet é malicioso e não possui assinatura. As diferenças estão no texto e nos ícones nos cantos. (Foto: Reprodução)
É necessário um nível de atenção muito grande para perceber a diferença aqui durante a navegação normal na web (onde clica-se muito e a todo instante). A Sun, que desenvolve o JRE, com certeza deveria melhorar essas janelas.
Há ainda mais uma maneira em que os applets poderiam usar para conseguirem acesso total ao sistema: explorando uma brecha no JRE, o “intérprete”. Se o JRE tiver uma falha que permita isso, o applet pode se “elevar” sem nem mesmo precisar da confirmação do usuário. É por isso que é importante manter o Java atualizado.
Desativar o Java no Internet Explorer é mais complicado. (Foto: Reprodução)
A coluna recomenda que o Java seja desabilitado, exceto na visita aos sites que realmente precisam de applets (que são poucos). No Firefox, basta desmarcar “Permitir” em Ferramentas > Opções > Conteúdo. No Internet Explorer, acesse as Opções da Internet, pelo Painel de Controle ou pelo menu Ferramentas. Vá em “Programas”, “Gerenciar complementos” e desative os plugins referentes ao Java. Veja a foto com os passos. Você terá de desfazer essa operação caso o site necessite de Java para funcionar.
>>> Run no prompt
Cliquei em run na mensagem que apareceu no site da Ambev conforme reportagem. Porém esta mensagem apareceu no site do Banco do Brasil que ficava lento para acessar a conta antes de aparecer a mensagem. Liguei para o BB e, segundo eles, devo bloquear a senha de internet. Devo formatar o PC e mudar a senha?
Ewerton
Como mostrado acima, Ewerton, o Banco do Brasil tem um applet legítimo em seu site que precisa de elevação. Se foi aquele o que você executou, não há risco. Se foi outro, em outro site, aí talvez seu computador tenha contraído algum vírus.
>>> Encaminhar arquivos suspeitos
Gostaria de saber se é possível enviar um suposto arquivo ou redirecionar e-mail a algum laboratório de pesquisa.
Aparecido Lima
Anti-Phishing Working Group é uma das organizações que tentam registrar e-mails maliciosos na web. (Foto: Reprodução)
É possível sim, inclusive recomendado. A maneira mais fácil de fazer isso é pelo VirusTotal. Enviando um arquivo para lá, você terá o resultado da análise dos antivírus e o arquivo ainda será encaminhando para todas as empresas participantes. Enviar as amostras suspeitas separadamente para cada empresa seria trabalhoso.
Para e-mail é mais complicado. Cada organização é especializada num determinado tipo e e-mail. Para phishing (e-mails que buscam roubar seus dados se passando por instituições financeiras), a referência é o Anti-Phishing Working Group (APWG), que disponibiliza um endereço eletrônico para o envio de mensagens suspeitas.
O SIRT (Spam Incident Response Team) era responsável por receber denúncias de spam. Mas o site CastleCops, que abrigava o projeto – junto com outros de igual natureza –, fechou.
Para pragas brasileiras e e-mails em português, o grupo de voluntários do ARIS-LD recebe denúncias.
>>> Arquivo do trojan mostrado na coluna
Arquivo malicioso foi instalado na pasta system, e não na system32. (Foto: Reprodução)
O arquivo wuaucldt.exe na verdade encontra-se na pasta system32 e não na system.
Moisés – CE
Mas o vírus – pelo menos o vírus testado para a reportagem – preferiu usar a pasta system, como pode ser visto na foto. Isso não quer dizer que um ' wuaucldt.exe' na pasta system32 seja legítimo. Como foi dito, apenas o arquivo sem o 'd' é correto, e o vírus poderia ter usado qualquer uma das pastas.
O pacotão de hoje fica por aqui. Volto na sexta-feira (9) com o que rolou de mais importante no mundo de segurança nesta semana. Enquanto isso, a área de comentários, abaixo, fica aberta para receber suas dúvidas, sugestões ou comentários. Até a próxima!
* Altieres Rohr é especialista em segurança de computadores e, nesta coluna, vai responder dúvidas, explicar conceitos e dar dicas e esclarecimentos sobre antivírus, firewalls, crimes virtuais, proteção de dados e outros. Ele criou e edita o Linha Defensiva, site e fórum de segurança que oferece um serviço gratuito de remoção de pragas digitais, entre outras atividades. Na coluna “Segurança para o PC”, o especialista também vai tirar dúvidas deixadas pelos leitores na seção de comentários.
0 comentários:
Postar um comentário