Quando eu estou investigando a suspeita da presença de um novo malware (código malicioso), não detectado pelo antivírus instalado, em um computador com Windows, em geral eu costumo utilizar duas ferramentas muito simples e extremamente úteis, explicadas a seguir.

Sysinternals – Autoruns e Process Explorer

Windows Sysinternals é um conjunto de utilitários de sistema avançados para Windows, criados e evoluídos desde 1996 por Mark Russinovich, co-fundador da empresa Winternals Software. Em 2006, a Microsoft adquiriu a Winternals e desde então os utilitários Sysnternals estão integrados no portal Microsoft TechNet, e continuam disponibilizados gratuitamente.

Dois destes utilitários são muito úteis para auxiliar na busca de malware presente no computador:

  • Autoruns: Este programa exibe todas as entradas existentes de executáveis instalados para iniciar automaticamente no Windows, durante o Logon e nos muitos outros meios que o sistema operacional permite para isso. Uma característica típica de vírus, vermes e outros malwares que se instalam no computador é registrar-se para ser executado automaticamente sempre que o sistema é iniciado. Portanto, é muito provável que se existe um malware instalado, que ele apareceça na listagem do Autoruns. A forma mais comum dos malwares se registrarem é em uma entrada de Logon no Registro do Windows, tipicamente em HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. Autoruns lista informações básicas listadas de cada entrada, como nome registrado, descrição, fornecedor, caminho do executável, data. Você pode se assustar com quanta coisa existe em execução automática no seu Windows. Contudo, identificar uma entrada suspeita em meio à listagem do Autoruns não é trivial, em geral requer experiência em reconhecer o que é típico e legítimo, como utilitários de drivers, utilitários de atualização automática de softwares idôneos (exemplos: atualizador do Adobe Reader ou do Java) e outros programas desejados em execução constante em segundo plano (exemplo: Google Chrome), configurados para executar assim que o Windows iniciar (muitas vezes são programas que tem um ícone na bandeja do sistema perto do relógio, na parte direita da barra de tarefas).
  • Process Explorer (procexp): Este utilitário exibe informações detalhadas sobre todos os programas/processos em execução, em tempo real. O Gerenciador de Tarefas nativo do Windows (acionado pela combinação de teclas Ctrl+Shift+Esc) exibe informações similares, mas de forma muito resumida. No Windows 8 o Gerenciador evoluiu muito em informações exibidas, mas ainda assim o Process Explorer é uma ferramenta bem mais poderosa e com muitos recursos exploratórios exclusivos, como busca por Handle/DLL, identificar um processo a partir de uma janela aberta, e exibição de todos os recursos criados ou abertos por um processo (arquivos, chaves de registro, eventos do sistema, threads etc.). Se um malware estiver em execução, ele aparecerá na lista do procexp. Contudo, assim como no Autoruns, identificar um processo suspeito dentre os programas em execução não é nada trivial.

Autoruns: Screnshot (origem: Microsoft TechNet).

Os utilitários Sysinternals são fornecidos na forma de executáveis simples (em geral, acompanhados de arquivos de ajuda e licença de uso), distribuídos em arquivos ZIP. Você pode baixar o Autoruns e o Process Explorer, ou o Sysinternals Suite contendo todos os utilitários disponíveis de uma vez só.

Sugiro descompactar em uma pasta como C:\sysinternals e adicioná-la ao Path de execução do Windows (Propriedades Avançadas do Computador > Variáveis de Ambiente) para manter estes utilitários prontos para uso no computador, e andar com eles atualizados em um pendrive para poder executar em um computador qualquer.

VirusTotal.com

O segundo passo uma vez identificado um executável suspeito ou provável malware é utilizar o serviço web gratuito VirusTotal.com. No uso mais básico, você pode enviar um arquivo para o VirusTotal e ele o analisa executando 57 (quantitativo no momento em que escrevo este artigo) programas antivírus e antimalware, atualizados e configurados em suas opções de busca mais amplas (inclusive técnicas heurísticas) mostrando quais deles detecta algo. O VirusTotal mantém uma base histórica das assinaturas hash de todos os arquivos já analisados pelo serviço, de forma que se você submete um arquivo já analisado ou uma assinatura, o VirusTotal oferece para exibir a análise mais recente disponível ou (em caso do arquivo) re-analisar.

Ou seja, praticamente se algum programa antivírus atualmente reconhece um executável suspeito que você tem como malware, o VirusTotal lhe traz essa informação. Espetacular!

Os dois juntos – Perfeito!

Agora vem o melhor. Desde janeiro de 2014 no Process Explorer e de janeiro de 2015 no Autoruns, existe integração destes programas com o serviço VirusTotal.com!

No Autoruns, por exemplo, você pode ir na opção de menu Options > Scan Options e marcar Check VirusTotal.com, para que o Autoruns automaticamente submete a assinatura hash de cada entrada listada ao serviço VirusTotal, e exiba os resultados em uma coluna da listagem, colorindo de vermelho se alguma entrada tiver detecção positiva para malware. A opção Submit Unknown Images, embora mais demorada, ainda permite enviar o arquivo ao VirusTotal caso a sua assinatura ainda não exista na base histórica de análises do serviço. Para facilitar ainda mais a busca apenas pelos suspeitos, a opção Options > Hide VirusTotal Clean Entries permite ocultar da listagem do Autoruns todos os executáveis que foram identificados como limpos no VirusTotal.com, exibindo apenas os que tiveram alguma detecção positiva e os desconhecidos (ainda não analisados pelo VirusTotal).

No Procexp, a integração com o VirusTotal se dá pela opção Options > VirusTotal.com > Check VirusTotal.com (e Submit Unknown Executables).

Com ferramentas simples e integradas assim, fica bem prático, fácil e rápido tentar detectar um malware em um computador, mesmo se não houver um bom antivírus instalado, bastando ter em mãos o Autoruns e o Procexp, e acesso internet para o VirusTotal.

O Painel de Controle do Windows (Programas e Recursos) exibe uma lista dos programas instalados, com informações como Editor (fornecedor/criador), data de instalação, tamanho e versão, e permite desinstalar individualmente programas.

Mas nessa interface gráfica não há uma maneira de exportar uma listagem (textual) destes programas. Se você precisar dessa informação, pode recorrer ao Windows Management Instrumentation Command-line (WMIC), disponível a partir do Windows XP.

  1. Abra uma janela de console ou Prompt de Comando do Windows, digitando “cmd” e [Enter] na caixa de pesquisa do menu iniciar, ou no menu Todos os Programas > Acessórios > Prompt de Comando.
  2. wmic [Enter]
  3. product get name,version [Enter]
  4. Aguarde até que o Windows gere a lista (pode demorar alguns minutos, se houver muitos programas instalados)
  5. Copie a lista para a Área de Transferência, com menu de contexto (botão direito do mouse) > Marcar, selecione a lista completa [Enter]
  6. exit [Enter] para sair do WMIC
  7. exit [Enter] ou feche a janela para sair do Prompt de Comando
  8. Cole (Ctrl+V) no Bloco de Notas ou no editor de texto de sua preferência, e salve o arquivo.

Para saber mais:

Que tal a tecnologia da química ajudando a remover manchas em roupas, utilizando para cada substância causadora uma composição de produtos que em geral se encontra em casa? Vamos falar dessa tecnologia aplicada ao cotidiano de forma prática e simples.

Uma série de matérias do programa Hoje em Dia, da Rede Record, foi ao ar entre 2012 e 2013 com participação de Vladimir Constantino Valério, professor de química têxtil do Senai de São Paulo, que ensinou como tirar manchas em roupas provocadas por diversas substâncias. As receitas e vídeos estão disponíveis no portal R7. As receitas estão listadas a seguir.

Mancha causada por Use para remover
Banana 1 ª Fase
1 colher (sopa) de água oxigenada
1 colher (sopa) de sabão em pó

2ª Fase (aplicar por cima)
1 colher (sopa) de água sanitária

Barro 1 colher (sopa) de limpa-vidros
1 colher (sopa) de limpeza pesada
½ colher (sopa) de lustra-móveis
1 colher (sopa) de água oxigenada
Base de maquiagem 2 colheres (sopa) de removedor
1 colher (sopa) de lustra móveis
Bronzeador 1 colher (sopa) de limpeza pesada
1 colher (sopa) de removedor de esmalte
Café para cachecol de lã ½ colher (sopa) de sabão em pó
2 colheres (sopa) de água oxigenada
Chá preto 3 colheres (sopa) de água sanitária
2 colher (sopa) de limpeza pesada
½ colher (sopa) de Ajax (desengordurante)
Chocolate 1 colher (sopa) de sabão em pó
½ copo de água
3 colheres (sopa) de detergente incolor
Desodorante rollon 1ª Fase
2 colheres (sopa) de removedor
2 colheres (sopa) de solvente de pincel
1 colher (sopa) de lustra móveis

2ª Fase
1 colher (sopa) de limpeza pesada
3 colheres (sopa) de água sanitária

Esmalte 3 colheres (sopa) de removedor de esmalte
3 colheres (sopa) de thinner
detergente incolor (lava louças)
Ferrugem 3 colheres (sopa) de vinagre
3 colheres (sopa) de suco de limão
5 colheres (sopa) de detergente incolor (lava louças)
Flores 2 colheres (sopa) de água sanitária
½ colher (sopa) de bicarbonato de sódio
Goma de mascar Removedor de esmalte
Graxa 2 colheres (sopa) de sabão em pó
2 colheres (sopa) de removedor
1 colher (sopa) de lustra móveis
2 colheres (sopa) de limpeza pesada
Graxa em tecidos de lã 2 colheres (sopa) de sabão em pó
2 colheres (sopa) de limpeza pesada
2 colheres (sopa) de lustra-móveis
2 colheres (sopa) de removedor
Graxa de automóvel 1 colher (sopa) de limpeza pesada
1 colher (sopa) de lustra móveis
1 colher (sopa) de solvente de pincel
1 colher (sopa) de desengordurante
Ketchup e Molho de tomate 1 colher (sopa) de sabão em pó
½ copo de água
1 colher (sopa) de lustra-móveis
2 colheres (sopa) de água sanitária
Manga 1 colher (sopa) de sabão em pó
½ copo de água
3 colheres (sopa) de água oxigenada 30 Vol
Mofo 5 colheres (sopa) de água sanitária
2 colheres (sopa) de limpeza pesada
Molho de soja 1ª Fase
Limpa vidros

2ª Fase
1 colher (sopa) de sabão em pó
3 colheres (sopa) de água sanitária

Mostarda 2 colheres (sopa) de água sanitária
½ colher (sopa) de bicarbonato de sódio
Óleo 1 colher (sopa) de lustra móveis
½ colher (sopa) de detergente incolor (lava louças)
Pomada 1 ª Fase
1 colher (sopa) de lustra móveis
1 colher (sopa) de removedor

2ª Fase
3 colheres (sopa) de água sanitária
½ colher (sopa) de sabão em pó

Sangue Para manchas recentes:
Soro fisiológico

Para manchas antigas:
1 colher (sopa) de água oxigenada 30 vol
1 colher (sopa) de limpeza pesada

Tinta de cabelo Fixador de cabelo
Açúcar
Espuma de barbear
2 colheres (sopa) de água sanitária
1 colher de limpeza pesada
Tinta de caneta 3 colheres (sopa) de lustra móveis
1 e ½ colher (sopa) de removedor
1 colher (sopa) de detergente incolor (lava louças)
Tinta Latex 1 ª Fase
2 colheres (sopa) de solvente de pincel
1 colher (sopa) de removedor

2ª Fase
Fermento em pó

3ª Fase parte A
2 colheres (sopa) de solvente de pincel
1 colher (sopa) de removedor
1 colher (sopa) de removedor de esmalte

Parte B
Detergente incolor

Vela 1ª Fase
Raspagem

2ª Fase
Removedor de esmalte

3ª Fase
Ferro de passar roupa

4ª Fase
Removedor de esmalte
Detergente incolor

5ª Fase
3 colheres (sopa) de água sanitária
1 colher (sopa) de limpeza pesada

Vinho e Suco de uva 1 colher (sopa) de sabão em pó
½ copo de água
5 colheres (sopa) de limpeza pesada
5 colheres (sopa) de água sanitária

Referências:

Para saber mais:

Ontem fiz uma considerável revisão no artigo Gerando PDFs com (ou sem) o Ghostscript.

Não foi apenas uma mera atualização de versões dos programas abordados, como em várias das revisões anteriores. Agora também reestruturei a organização dos tópicos e melhorei o conteúdo. Até o título mudou, na verdade. O anterior era “PDF Livre com (ou sem) o Ghostscript”.

Após o quadro da seção 2, “Impressoras PDF comparadas”, explico melhor as opções da primeira seção, “Para os apressados”:

Na seção inicial “para os apressados” deste artigo, o doPDF é a primeira opção, por oferecer interface bem simples e não requerer nenhum software adicional. A alternativa seguinte é o FreePDF, bem completo em opções ao gerar PDF. O FreePDF requer o Ghostscript previamente instalado (à parte). O Bullzip Free PDF Printer tem uma gama de recursos similar ao FreePDF; apesar de uma interface com usuário muito boa, tem a limitação de uso para até 10 usuários em empresas. Não indiquei CutePDF, PrimoPDF ou PDF Creator por os três incluírem adware (opção de instalar algum software patrocinado por propaganda) na instalação.

“Gerar PDF a partir de LibreOffice ou Microsoft Office” agora é a seção 3, com dois subtópicos, um do LibreOffice e outro do MS Office.

Com essas melhorias, espero que o artigo continue atualizado e fique ainda mais claro e mais útil a todos!

Os bancos bresileiros perderam com fraudes financeiras perto de R$ 3 bilhões em 2012, segundo o blog de Fernando Nogueira da Costa, e R$ 2,3 bi em 2013, segundo o jornal Valor Econômico. A cada 14,8 segundos no país, ocorre uma tentativa de fraude, segundo indicador da Serasa Experian.

Como o crime vai atrás do dinheiro onde quer que ele transite, grande parte das fraudes envolvem a Internet, onde há o Internet Banking e as compras on-line. Atualmente, o cliente bancário pode fazer todo tipo de consultas, pagamentos, transferências e investimentos pela Internet, e ir a um caixa eletrônico apenas se precisar sacar dinheiro. Também o cartão de crédito é um dos meios de pagamento mais aceitos e utilizados nas compras pela Internet.

O crime bancário na Internet em geral envolve um meio do malfeitor obter os dados de conta ou cartão bancários (número, senha, códigos de acesso) de usuários de computador. Dois vetores comuns são programas maliciosos espiões (spyware, keylogger) instalados no computador para monitorar os dados digitados no acesso aos sites legítimos de banco, ou páginas falsas que imitam os sites legítimos de instituições financeiras e solicitam ao usuário preencher seus dados.

Já mostrei aqui no blog vários exemplos: Fraude “Bradesco” – cara de pau passo a passo, Anatomia de uma fraude: CitiBank, Anatomia de mais uma fraude: Santander. Mantenho também um grande conjunto de exemplos de fraudes coletados entre 2004 e 2010.

Uma boa ferramenta de Internet Security, constantemente atualizada, pode evitar a maior parte destes ataques, com um antivírus que detecte programas maliciosos quando tentam entrar no computador e um monitor de URLs web que detecte tentativas de acesso a endereços fraudulentos.

O Kaspersky Internet Security, além de antivírus e monitor de URLs, oferece desde 2013 um recurso específico chamado Safe Money que cria nos navegadores web (Chrome, Firefox, Internet Explorer) um ambiente protegido para distinguir e proteger o acesso a sites financeiros legítimos.

Ainda assim, quando uma fraude é muito recente, a ferramenta de Internet Security pode ainda não “conhecer” a assinatura do programa malicioso ou o endereço URL falso. E muitos usuários ainda não tem nenhum antivírus, ou usam antivírus antigos, desatualizados ou pouco eficazes.

Diante de um rombo de fraude da ordem dos bilhões anuais, os bancos investem em suas próprias soluções de prevenção a fraudes. No caso da Internet, a solução antifraude para e-Banking G-Buster, da empresa GAS Tecnologia é utilizada por quatro dos cinco maiores bancos de varejo, Banco do Brasil, Caixa Econômica Federal, Itaú e Santander, além de Banco Mercantil do Brasil, Banco da Amazônia, Banestes, Tecnocred/Unicred.

Os bancos em geral denominam a ferramenta G-Buster como Guardião. A exigência de instalação do Guardião por parte dos bancos para que se acesse o seu Internet Banking na web — o que dependendo da versão tem exigido requisitos como execução de um programa de diagnóstico e instalação, Java ativado, instalar um serviço no Windows e uma extensão ativada no navegador web — tem sido uma contramão no conceito de mobilidade de uso do banco, pois muitos computadores de acesso público à Internet não permitem esse tipo de instalação, por restrição de segurança.

Veja a seguir um exemplo do Firefox com as extensões dos guardiões de vários bancos instalados. Esta janela do Firefox está no ambiente protegido pelo recurso Safe Money do Kaspersky Internet Security, onde se pode ver também as extensões Consultor de URLs e Safe Money da Kaspersy.

Extensões do Firefox: Guardiões de bancos e ferramentas de proteção da Kaspersky.

Além disso, o Guardião do banco tenta monitorar todos os acessos web no navegador e sabe-se lá mais o que no computador, o que é uma questionável invasão da privacidade do usuário. E com frequência, tem sido recentemente apontado como causa de lentidão no acesso a sites. Eu mesmo já vi várias vezes o navegador “travado” e na linha de status a mensagem “Aguardando extensão Guardião …”.

Nos smartphones e tablets Android e iOS a história é um pouco diferente, pois os bancos disponibilizam aplicativos próprios para instalação, ao invés do acesso por um navegador web comum. Talvez essa seja a alternativa mais viável atualmente para efetiva mobilidade no acesso aos serviços bancários.

[Atualizado em 18 de dezembro de 2014.]

Desde a versão 6 do Java, a Oracle começou a oferecer a instalação do software Ask de buscas patrocinadas na internet (ou seja, um adware), durante a instalação do runtime Java. E essa “oferta” insistente e vergonhosa aparece não só na instalação inicial do Java, mas em toda atualização on-line.

A página de ajuda (FAQ) do Java na Internet apenas define vagamente o seguinte:

“A Ask Toolbar é um add-on de browser gratuito que permite fazer pesquisa na Web usando o mecanismo de pesquisa Ask.com diretamente do browser.”

As ferramentas oferecidas para instalação junto com o Java são a Ask Toolbar, uma barra de ferramentas instalada como extensão nos navegadores internet, e a alteração da configuração dos navegadores instalados para que o mecanismo de busca padrão seja da Ask.com. Obviamente são buscas patrocinadas, ou sejam, que levam a resultados muitíssimo piores que os da busca do Google ou mesmo do Bing, e infestados de resultados patrocinados, onde o que mais interessa é gerar rendimento para a Ask, e não apresentar ao usuário resultados relevantes. Ou seja, o tipo de software — em geral indesejado — que é conhecido como adware.

Será realmente que um dos principais mecanismos de runtime de aplicações ricas na Internet como o Java, e uma hiper-mega-corporação global como a Oracle precisem de dinheiro extra pela revenda de patrocínio através da Ask para sustentar a distribuição e disseminação do Java? Será que realmente vale a pena associar o nome de uma empresa sólida como a Oracle e uma plataforma séria e tradicional (desde 1995!) como o Java, a um questionável adware??? Sinceramente, acredito que não!

Existe até uma petição pública (abaixo-assinado) na Internet para que a Oracle pare de distribuir o Ask na instalação do Java: Oracle Corporation: Stop bundling Ask Toolbar with the Java installer.

É fácil evitar a instalação do Ask, bastando desmarcar a opção na tela própria do assistente de instalação do Java as opções que vem marcadas por padrão:

Oferta para instalar o complemento de navegador da Ask

Mas como a maioria dos usuários não presta atenção e às vezes até não entende bem as opções, e simplesmente vai clicando “Avançar” até a conclusão da instalação, muitos acabam tendo instalada a extensão da Ask. Depois podem se assustar quando tentam fazer uma pesquisa na Internet e veem a página de resultados da Ask, sem nem se lembrarem de como isso foi parar ali!

Mesmo depois de instaladas as extensões da Ask, há opção de desinstalar o software pelo Painel de Controle do Windows, mas mais uma vez muitos usuários mais leigos ou desavisados sequer sabem disso ou procuram essa opção.

Lendo uma atualização de 12/12/2014 no site do abaixo-assinado contra o Ask ToolBar, descobri que a partir do Java 7 Update 65 (7u65) e Java 8 Update 11 (8u11) a Oracle passou a disponibilizar, no Painel de Controle Java, guia Avançado, opção que pode ser marcada para Suprimir ofertas de patrocinadores ao atualizar o Java.

Painel de Controle Java, guia Avançado, opção Suprimir ofertas do patrocinador ao instalar ou atualizar o Java.

O FAQ (Respostas a Perguntas Frequentes) da Oracle sobre “Como eu instalo o Java sem ofertas de terceiro patrocinador” ainda apresenta outra alternativa, mais técnica, para evitar a instalação de software patrocinado na instalação é executar o instalador pela linha de comando (Prompt/Console, cmd, ou Iniciar > Executar) acrescentando o parâmetro SPONSORS=0. Segundo o artigo, esta opção já existia antes do Java 7u65 e 8u11, mas não deixa claro desde quando.

Uma entrada no fórum SuperUser, How can I prevent Ask.com Toolbar from being installed every time Java is updated?, ensina que há um jeito de se adicionar entradas no registro do Windows que desabilitam em definitivo as ofertas de patrocinadores durante a instalação de Java: desativa_patrocinio_java.reg

Também quando se baixa a versão off-line do instalador do Java Runtime (JRE), disponível em Java.com e em Oracle TechNet (encontrado a partir da página inicial Java SE Downloads), a oferta de instalação da ferramenta patrocinada Ask não aparece.

Mas, mais uma vez, a maior parte dos usuários comuns não sabe disso e nunca chegará a estas alterativas, infelizmente!

No artigo Soluto’s data raises questions about how Oracle manages Java do blog da empresa Soluto, de soluções para suporte remoto para PCs e iOS, o instalador do Java é responsável por cerca de 40% das instalações indesejadas da Ask Toolbar em seus clientes. Além disso, pelo menos 60% dos clientes da Soluto que tiveram o Ask instalado providenciaram a desinstalação, mostrando o quanto a ferramenta é indesejada. E a empresa acredita que a maior parte dos que ainda não desinstalaram a Ask Toolbar têm a intenção de fazê-lo.

Se você é usuário do Java, recomendo evitar a instalação da Ask Toolbar ou desinstalar se você também acha um software indesejado. Se você é um representante da Oracle, por favor leve nosso protesto a quem de direito para retirar esse maldito e vergonhoso patrocínio de uma vez por todas!

Para saber mais:

Ao fazer um levantamento sobre certificações disponíveis no mercado para atestar os conhecimentos teóricos de profissionais de teste e garantia da qualidade de software, descobri que existem mais de 20 certificações de pelo menos sete instituições certificadoras no mundo! Isso sem falar nas certificações em ferramentas e produtos específicos para teste de software (IBM, Borland etc.).

Cada instituição costuma dividir seu caminho de certificações em níveis, que podem estar entre os quatro seguintes: Fundamental, Profissional ou Avançado, Especialista, Gerencial.

Cada instituição certificadora propõe um corpo de conhecimento (body of knowledge – BOK) em teste de software, com a ementa de referência (syllabus) de cada certificação e, em geral, provê também um glossário sistematizado de termos.

Obviamente, como estão todos abordando a mesma disciplina de teste de software, existem muitas similaridades, mas há bastante variação de tópicos e abordagens.

As entidades certificadoras mais populares no Brasil parecem ser a International Software Testing Qualifications Board (ISTQB) de origem européia, através de seu braço nacional Brazilian Software Testing Qualifications Board (BSTQB); a Associação Latino Americana de Teste de Software (ALATS); e o Quality Assurance Global Institute (QAI), de origem americana.

O quadro resumo das certificações e detalhamento das informações está na seção Teste e Garantia da Qualidade de Software da página Hyperlink: Qualidade do Produto, Métricas e Teste de Software.

Mas são tantas siglas de instituições e certificações que você pode se confundir facilmente com essa sopa de letrinhas. Nesse caso, a variedade e diversidade mais complica do que ajuda. Seria muito bom se surgisse um esforço internacional de unificação ou consolidação destas ementas de referência…

Ilustração do Heartbleed Bug do OpenSSL

Fazia tempo que não se ouvia falar tanto de uma vulnerabilidade de segurança tão séria e de tão grande impacto na Internet.

O Projeto OpenSSL mantém o software livre que implementa os protocolos Secure Sockets Layer (SSL v2/v3) e Transport Layer Security (TLS v1), incluindo biblioteca de criptografia forte, utilizado por aproximadamente dois terços de todos os sites seguros da Internet, aqueles com endereço iniciado por “https:” e com o famoso cadeado exibido nos navegadores web. Inclusive, em 2007 o OpenSSL foi homologado como padrão de segurança pelo governo dos Estados Unidos, FIPS PUB 140-2.

Um bug no recurso denominado Heartbeat (em português literal, Batimento Cardíaco) do protocolo TLS implementado no OpenSSL, apelidado “Heartbleed” Bug (Falha do “Sangramento no Coração”), pode revelar até 64 Kbytes da memória do servidor web para um cibercriminoso. A falha é muito grave porque, além de afetar boa parte dos sites seguros na internet rodando uma versão vulnerável do OpenSSL, é um bug fácil de explorar e não deixa rastros (ou seja, não há uma maneira garantida de saber se um servidor foi atacado através dessa falha nem que dados podem ter vazado).

O bug foi comunicado ao time de segurança da OpenSSL por Neel Mehta da Google Security, em 1º de abril (e não é mentira!). Afeta OpenSSL releases 1.0.1 até 1.0.1f e 1.0.2-beta1. Usuários (em geral, administradores de sites) da biblioteca OpenSSL afetados devem atualizar para a versão 1.0.1g, lançada em 7 de abril, ou recompilar OpenSSL com a opção -DOPENSSL_NO_HEARTBEATS. A série 1.0.2 está sendo corrigida no release 1.0.2-beta2. A versão 1.0.1 foi lançada em março de 2012, o que significa que sites e produtos que tenham adotado OpenSSL 1.0.1 com a extensão Heartbeat ativada podem ter estado vulneráveis nos últimos dois anos.

Entre os grandes sites de serviço afetados está Yahoo (incluindo serviços populares como Yahoo Mail, Flickr e Tumblr). A recomendação a todo usuário do Yahoo é alterar a senha da sua conta.

Os mais desconfiados recomendam que os usuários alterem também a senha de sua conta em outros sites, como Google, Facebook e Dropbox. Em nota no seu blog oficial, a LastPass divulgou que embora seu site tenha estado afetado pelo bug, os dados nas contas de seus usuários estão seguros porque são criptografados no computador cliente, antes de transitar na rede via SSL/TLS, com uma chave secreta do usuário que os servidores da LastPass nunca recebem.

Como uma das informações que pode ter vazado pelo Bug Heartbleed é a chave secreta do próprio certificado digital SSL do site https afetado, a recomendação dos especialistas para os administradores destes sites é que revoguem o certificado utilizado no site até o dia em que corrigirem a vulnerabilidade, e emitam um novo certificado. De fato, um levantamento do SANS Institute no InfoSec Handlers Diary Blog mostra que entre os dias 7 e 12 de abril, houve um crescimento substancial de certificados SSL revogados em 16 grandes autoridades certificadoras (CAs / ACs).

Grandes empresas fornecedoras de produtos para Internet, como F5 Networks e Cisco, também divulgaram alertas de seguranças em seus produtos que utilizam OpenSSL.

O blog do fornecedor de antivírus e produtos de segurança Kaspersky indica uma ferramenta simples que testa on-line se um servidor web https tem a vulnerabilidade Heartbleed ou não, basta digitar o endereço do site:
https://filippo.io/Heartbleed/ – Test your server for Heartbleed (CVE-2014-0160).
A LastPass também lançou um serviço de verificação:
https://lastpass.com/heartbleed/ – LastPass Heartbleed checker

O blog Fox-it ainda indica uma extensão para o navegador Google Chrome que exibe uma alerta se você acessar um site afetado pelo bug Heartbleed:
Chrome Web Store – Chromebleed

Referências:

Depois de adotar de vez o Google Chrome como meu navegador principal, venho atualizando o artigo Extensões para os navegadores Firefox e Chrome à medida que vou descobrindo e testando extensões úteis.

Atualmente, a listagem de aproximadamente 50 extensões para Mozilla Firefox e/ou Google Chrome, organizadas por temas nas seções de Uso geral e de Ferramentas técnicas, está em formato tabular conciso. O artigo foi atualizado hoje com algumas novas extensões e atualizações/correções de links.

Ainda há algumas extensões disponíveis para Firefox para as quais sinto falta de equivalente no Chrome, especialmente a integração com um programa gerenciador de download (Flashgot no Firefox) e opções avançadas de configuração e personalização de aparência e comportamento de abas (Tab Mix Plus no Firefox).

Logomarca do Google Chrome Cansado da eterna lentidão do Firefox ao iniciar, com a qual eu vinha convivendo há muito tempo, eu já tinha instalado e usava eventualmente o Google Chrome toda vez que eu estava com pressa (ou seja, com frequência).

Com o tempo, me familiarizei e gostei do Chrome, que inicializa rápido, instala e desinstala extensões sem precisar reiniciar o navegador, e é perfeitamente compatível com quase todos os sites. Além disso, o Chrome já vem com muitas ferramentas nativas poderosas voltadas para o desenvolvedor web.

Ideologicamente, o Mozilla Firefox é um software livre, enquanto o Google Chrome é um software proprietário gratuito mantido e distribuído pela empresa Google, embora baseado no projeto de software livre Chromium. Deixando ideologias de lado, desisti da lentidão do Firefox e agora tornei o Chrome meu navegador padrão.

Nem tudo é perfeito

O Chrome ainda tem sutis detalhes que me incomodam. Por exemplo, eu gostava da comodidade que consegui, por meio da extensão do Firefox Tab Mix Plus, de poder abrir páginas de favoritos ou histórico sempre em uma nova aba, clicando normalmente com o botão principal do mouse. No Chrome, para abrir em nova aba, só com o mecanismo padrão que é pressionar a tecla Ctrl ao clicar com o botão principal, ou utilizar o botão do meio no mouse (se houver). Não encontrei nenhuma extensão que permitisse o comportamento alternativo que eu desejava.

A impressão de página, embora ofereça a bem-vinda opção nativa de salvar em PDF, só recentemente passou a permitir imprimir plano de fundo (cores e imagens do background), configurar margens e inclusão de cabeçalho e rodapé. Mas ainda não permite configurar zoom nem as informações em cada parte do cabeçalho e rodapé. E para imprimir apenas um intervalo de páginas ou seleção, só pela caixa de diálogo imprimir do sistema, sem passar pelo Print Preview.

Além disso, ainda existem uns poucos sites que não funcionam perfeitamente no Chrome. Eu sei que em geral a culpa é de uso recursos errados ou fora do padrão HTML, CSS ou JavaScript do próprio site, mas ainda assim é um transtorno. No fundo, ainda existem também raros sites (em geral em ASP ou ASPX) que não funcionam bem nem no Chrome e nem no Firefox, só no Internet Explorer. Acho que é por coisas como essa que existem os que praguejam contra a Microsoft…

Espero que versões futuras do Chrome melhorem as deficiências remanescentes que apontei aqui.

Extensões

Navegador mudado, o próximo passo foi personalizá-lo com extensões. Como resultado disso, fiz uma profunda atualização na página que mantenho sobre extensões de navegador, antes uma lista só para Firefox, agora se tornou uma tabela com opções para Firefox e para Chrome.

Muitas extensões que eu indico estão disponíveis tanto para Firefox quanto para Chrome. Em outros casos, existem extensões distintas mas com funcionalidade e recursos equivalentes ou similares. Mas existem as que não encontrei até o momento correspondente no outro navegador.

Histórico de uso de navegadores web por StatCounter

Enfim

Com navegador e extensões, eu agora aumento a estatística de uso que já tornou o Google Chrome o navegador mais usado no mundo. Mas o Firefox continua instalado, agora como meu navegador secundário.

« Página anteriorPróxima página »