Infra - Segurança
Bugs e patches ou Brechas e remendos
Bugs são falhas de programação e estão presentes em praticamente todos programas, muitas vezes nem serão notados pois só aparecerão sob determinadas circunstâncias especiais e até raras, noutras travarão o programa ou causarão algum outro tipo de erro sendo que os mais perigosos são os que comprometem a segurança do sistema. Patches são arquivos de correção que as empresas desenvolvedoras dos softwares disponibilizam para corrigir os bugs de seus programas. Então um bug é uma falha num programa que pode abrir uma brecha de segurança nele e patch é um arquivo de correção para essa falha que remenda a brecha...
por Ary Vaz de Lima JrBugs são falhas de programação e estão presentes em praticamente todos programas, muitas vezes nem serão notados pois só aparecerão sob determinadas circunstâncias especiais e até raras, noutras travarão o programa ou causarão algum outro tipo de erro sendo que os mais perigosos são os que comprometem a segurança do sistema. Patches são arquivos de correção que as empresas desenvolvedoras dos softwares disponibilizam para corrigir os bugs de seus programas. Então um bug é uma falha num programa que pode abrir uma brecha de segurança nele e patch é um arquivo de correção para essa falha que remenda a brecha...
Os softwares da Microsoft por serem os mais utilizados no mundo e também por terem muitos recursos de automação que facilitam a vida de seus usuários são alvos críticos dos programadores inescrupulosos, macros, applets Java e controles ActiveX não oferecem perigo até que alguém os use com má intenção. Uma brecha na segurança que afeta milhões de usuários, naturalmente, é um atrativo para hackers maliciosos. É claro que nem só a Microsoft sofre com isso, por exemplo neste ano (2002) já foram relatados bugs nos seguintes softwares: Oracle, Linux, Snort, ICQ, Netscape, Mozilla, Real Player, Solaris, iPlanet, AIM e outros... Segundo a BugTraq, lista de discussão da SecurityFocus especializada em brechas e correções o ranking de bugs em 2001 ficou assim:
- Microsoft Internet Explorer - 69
- Microsoft Windows 98 - 35
- Microsoft Windows 95 - 30
- Microsoft Outlook - 28
- Netscape Navigator - 22
- Microsoft Outlook Express - 16
- Microsoft Windows Me - 10
- Microsoft Excel - 10
- Microsoft Word - 9
- Qualcomm Eudora - 8
- Symantec Norton AntiVirus - 7
- AOL Instant Messenger - 6
- Mirabilis ICQ - 6
- Sun Java - 5
- Microsoft PowerPoint - 5
Divulgação de bugs
Existe uma polêmica em relação à divulgação ou não de todas as falhas encontradas, se por um lado "a Microsoft pediu à comunidade de especialistas em segurança que julguem melhor as formas de publicar as vulnerabilidades encontradas em seus produtos e as maneiras como elas podem ser exploradas. Segundo a gigante do software, a publicação explícita das instruções, para a exploração de vulnerabilidades em seus softwares aumentou os prejuízos de usuários de sistemas baseados no Windows na ocasião dos ataques do Codered e Nimda, por exemplo" (IDG Now! 19 de Outubro de 2001) , por outro os caçadores de bugs dizem que estão prestando um serviço ao divulgar vulnerabilidades, quem tem razão? Fato é que Bill Gates já diz que segurança deve ser prioridade para a Microsoft. Outro fato é que os bugs e patches são tantos que fica muito difícil manter os sistemas atualizados...
Falsos patches e bugs em patches
Patches de correção com erros já não são novidades e vírus que se aproveitam dessa bagunça toda também não... O vírus Redesi por exemplo finge ser um alerta de segurança da Microsoft.
Como estar por dentro
É fundamental estar informado para poder proteger-se... A Microsoft distribui Boletins de Segurança (em inglês) que alertam sobre os novos bugs descobertos e seus respectivos patches bastando cadastrar-se para recebe-los, do mesmo modo a Bugtraq relata sobre bugs e patches em geral independente do software e o Virinfo também informa sobre as novidades em relação a isso.
Corrigindo as falhas do seu sistema
Para começar experimente clicar em Iniciar e em Windows Update (é preciso estar conectado à Internet e com eventuais programas defensivos desabilitados), depois clique em Atualização do Produto... Será feita uma avaliação do seu Windows e se apresentará uma lista com os arquivos de atualização para o seu sistema, concentre-se apenas nas Atualizações Críticas que são as relacionadas a segurança e deixe o resto para outra hora... Baixe e instale gratuitamente o pacote de atualizações críticas e constate como é fácil ter sua segurança bastante incrementada. 8)
No caso da dupla IExplorer e Outlook é recomendável estar usando a versão 6.0 que é a atual e esta sempre tem correções para falhas que existem nas versões anteriores, mesmo assim é bom conferir os patches de correção da última versão pois eles existem... Para isso sugiro o uso do CatchUp que faz uma varredura em seu sistema e indica os patches de segurança que devem ser instalados além de atualizações de outros programas, esse programinha (137K) é gratuito (em inglês) e pode ser encontrado em:
Links sugeridos
- Microsoft Security Notification Service
- Bugtraq
- Virinfo
- Correção de segurança da Microsoft contém defeito
- Vírus Redesi finge ser alerta de segurança da Microsoft
- Computação confiável, o novo lema da Microsoft
- Gates diz que segurança deve ser prioridade para a Microsoft
- O impasse do ovo e da galinha no mundo dos bugs
- Patches esgotam a turma de TI
- Segurança em SistemasSegurança
- TMap Next(Test Management Approach) - Processos de Suporte - Parte 8-4Segurança
- TMap Next(Test Management Approach) - Processo de Testes de Desenvolvimento - Parte 8-3Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
- TMap Next(Test Management Approach) - Processo Plano de Testes Mestre(MTP) - Planejamento e Con...Segurança
