| >
Bugs
e patches ou Brechas e remendos
Bugs
são falhas de programação e estão presentes em praticamente
todos programas, muitas vezes nem serão notados pois só
aparecerão sob determinadas circunstâncias especiais e até
raras, noutras travarão o programa ou causarão algum outro tipo
de erro sendo que os mais perigosos são os que comprometem a
segurança do sistema. Patches são arquivos de correção que as
empresas desenvolvedoras dos softwares disponibilizam para
corrigir os bugs de seus programas. Então um bug é uma falha
num programa que pode abrir uma brecha de segurança nele e patch
é um arquivo de correção para essa falha que remenda a
brecha...
Os
softwares da Microsoft por serem os mais utilizados no mundo e
também por terem muitos recursos de automação que facilitam a
vida de seus usuários são alvos críticos dos programadores
inescrupulosos, macros,
applets Java e controles ActiveX não oferecem perigo até que
alguém os use com má intenção. Uma brecha na segurança que
afeta milhões de usuários, naturalmente, é um atrativo para
hackers maliciosos. É claro que nem só a Microsoft sofre com
isso, por exemplo neste ano (2002) já foram relatados bugs nos
seguintes softwares: Oracle, Linux, Snort, ICQ, Netscape,
Mozilla, Real Player, Solaris, iPlanet, AIM e outros...
Segundo a BugTraq, lista de discussão da SecurityFocus
especializada em brechas e correções o ranking de bugs em 2001
ficou assim:
|
Software
|
Número
de brechas conhecidas
|
|
1
Microsoft Internet Explorer
|
69
|
|
2
Microsoft Windows 98
|
35
|
|
3
Microsoft Windows 95
|
30
|
|
4
Microsoft Outlook
|
28
|
|
5
Netscape Navigator
|
22
|
|
6
Microsoft Outlook Express
|
16
|
|
7
Microsoft Windows Me
|
10
|
|
8
Microsoft Excel
|
10
|
|
9
Microsoft Word
|
9
|
|
10
Qualcomm Eudora
|
8
|
|
11
Symantec Norton AntiVirus
|
7
|
|
12
AOL Instant Messenger
|
6
|
|
13
Mirabilis ICQ
|
6
|
|
14
Sun Java
|
5
|
|
15
Microsoft PowerPoint
|
5
|
Divulgação
de bugs
Existe
uma polêmica em relação à divulgação ou não de todas as
falhas encontradas, se por um lado "a Microsoft pediu à
comunidade de especialistas em segurança que julguem melhor as
formas de publicar as vulnerabilidades encontradas em seus
produtos e as maneiras como elas podem ser exploradas.
Segundo
a gigante do software, a publicação explícita das instruções,
para a exploração de vulnerabilidades em seus softwares
aumentou os prejuízos de usuários de sistemas baseados no
Windows na ocasião dos ataques do Codered e Nimda, por
exemplo" (IDG Now! 19 de Outubro de 2001) , por outro os caçadores
de bugs dizem que estão prestando um serviço ao divulgar
vulnerabilidades,
quem tem razão? Fato é que Bill Gates já diz que segurança
deve ser prioridade para a Microsoft. Outro fato é que os bugs e
patches são tantos que fica muito difícil manter os sistemas
atualizados...
Falsos
patches e bugs em patches
Patches
de correção com erros já não são novidades e vírus que se
aproveitam dessa bagunça toda também não... O vírus Redesi
por exemplo finge ser um alerta de segurança da Microsoft.
Como
estar por dentro
É
fundamental estar informado para poder proteger-se... A Microsoft
distribui Boletins de Segurança (em inglês) que alertam sobre
os novos bugs descobertos e seus respectivos patches bastando
cadastrar-se para recebe-los, do mesmo modo a Bugtraq relata
sobre bugs e patches em geral independente do software e o
Virinfo também informa sobre as novidades em relação a isso.
Corrigindo
as falhas do seu sistema
Para
começar experimente clicar em Iniciar e em Windows Update (é
preciso estar conectado à Internet e com eventuais programas
defensivos desabilitados), depois clique em Atualização do
Produto... Será feita uma avaliação do seu Windows e se
apresentará uma lista com os arquivos de atualização para o
seu sistema, concentre-se apenas nas Atualizações Críticas que
são as relacionadas a segurança e deixe o resto para outra
hora... Baixe e instale gratuitamente o pacote de atualizações
críticas e constate como é fácil ter sua segurança bastante
incrementada. 8)
No
caso da dupla IExplorer e Outlook é recomendável estar usando a
versão 6.0 que é a atual e esta sempre tem correções para
falhas que existem nas versões anteriores, mesmo assim é bom
conferir os patches de correção da última versão pois eles
existem... Para isso sugiro o uso do CatchUp que faz uma
varredura em seu sistema e indica os patches de segurança que
devem ser instalados além de atualizações de outros programas,
esse programinha (137K)
é gratuito (em inglês) e pode ser encontrado em: http://catchup.cnet.com
Links
sugeridos
Microsoft
Security Notification Service
http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/notify.asp
Bugtraq
http://online.securityfocus.com/archive/1
Virinfo
http://br.groups.yahoo.com/group/virinfo
Correção
de segurança da Microsoft contém defeito
http://www.infoguerra.com.br/infonews/viewnews.cgi?newsid1003773758,91831
Vírus
Redesi finge ser alerta de segurança da Microsoft
http://pcworld.terra.com.br/pcw/update/5183.html
Computação
confiável, o novo lema da Microsoft
http://idgnow.terra.com.br/idgnow/pcnews/2002/02/0010
Gates
diz que segurança deve ser prioridade para a Microsoft
http://pcworld.terra.com.br/pcw/update/5959.html
O
impasse do ovo e da galinha no mundo dos bugs
http://pcworld.terra.com.br/pcw/testes/internet/0064.html
Patches
esgotam a turma de TI
http://www2.uol.com.br/info/aberto/infonews/122001/03122001-15.shl
|
Publicado
nos sites: Geek
Brasil , Linha
de código , ISTF e Jornal
de Segurança