BUG ATRASA LIBERAÇÃO DO WINDOWS 10 SPRING CREATORS UPDATE ― CONTINUAÇÃO

O PMDB ― ORA MDB ― É UM PARTIDO FIRME NA HORA DE APOIAR UM GOVERNO, MAIS FIRME AINDA NA HORA DE SABOTAR UM GOVERNO, MAS SEM FIRMEZA ALGUMA NA HORA DE SER GOVERNO.

Conforme eu disse no post anterior, talvez não seja conveniente a atualizar o Windows 10 assim que o bug for corrigido e os arquivo de instalação do Spring Creators Update forem liberados via Windows Update. 

Quando a Microsoft lançava novas edições do Windows a cada 2 anos, eu sugeria migrar somente após o primeiro Service Pack (conjunto de atualizações/correções que solucionavam a maioria dos problemas identificados posteriormente ao lançamento comercial de uma edição do Windows e, eventualmente, implementavam novos recursos e aprimoramentos). Com o advento do Windows 10, a Microsoft substituiu os service packs por updates abrangentes, e o build 1803, que deveria acompanhar o Patch Tuesday deste mês, acabou suspenso devido ao probleminha que a gente discutiu na postagem de abertura.  

Os aprimoramentos trazidos pelo update de primavera (embora seja outono no hemisfério sul, a Microsoft padronizou a nomenclatura) são interessantes, mas dificilmente justificam o risco de se perder horas (ou dias) reinstalando o sistema por conta de um update problemático. Tudo bem, a falha foi identificada antes que os arquivos de atualização fossem liberados, mas quem garante que não haja outro bug latente, que possa se manifestar mais adiante, como já aconteceu em outras oportunidades? 

Por essa e outras, é melhor esperar a poeira baixar. Mas aí tem um probleminha: as atualizações automáticas do Windows 10 vêm ativadas por padrão, e bloqueá-las não é tão simples quanto era no Seven ou no XP, por exemplo.

Para quem usa o Windows 10 Pro, Enterprise ou Education, basta clicar em Iniciar > Configurações > Atualização e Segurança e, nas opões avançadas, configurar o modo Semi-Annual Channel (ou Canal Semianual, numa tradução livre), que suspenderá a instalação da próxima versão do Windows (neste caso, a versão 1803) até que saia um anúncio oficial de que ela está “pronta para implementação ampla” ou em “disponibilidade geral” (veja detalhes na imagem que ilustra esta postagem). Já para a maioria de nós, que usa versão Home ―, o buraco é um pouco mais embaixo.

Amanhã a gente conclui. Até lá.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

BUG ATRASA LANÇAMENTO DO WINDOWS 10 SPRING CREATORS UPDATE

ONDE TEM ONÇA, MACACO NÃO PIA.

Em 2015, a Microsoft “promoveu” o Windows à condição de serviço e liberou gratuitamente o Windows 10 para usuários das edições Seven e 8/8.1. Desde então, o produto já recebeu três atualizações abrangentes ― Anniversary Update (build 1607), lançada em julho de 2016, Creators Update (1703), em meados do ano passado, e o Fall Creators Update (1709), em novembro último. No mês passado, falou-se que o Spring Creators Update (build 1803) estava quase pronto, e que seria liberado com o Patch Tuesday do último dia 10. Só que não.

Observação: Por Patch Tuesday, entenda-se um “pacote” de correções/atualizações que a Microsoft disponibiliza para o Windows e seus componentes na segunda terça-feira feira de cada mês. Note que atualizações críticas podem ser disponibilizadas em outras datas, conforme sua importância, e que os “Service Packs” ― “pacotes” que incorporavam novos recursos e incluíam as atualizações/correções lançadas desde o lançamento daquela encarnação do Windows ou do SP anterior ― foram substituídos por updates abrangentes, como os retro mencionados.

Devido a um bug identificado pelos participantes do programa Windows Insider, a Microsoft resolveu adiar o lançamento do update de primavera. A nova data ainda não foi divulgada oficialmente, mas espera-se que o problema seja resolvido e a atualização venha no próximo Patch Tuesday (previsto para o dia 8 do mês que vem).

Essa não é a primeira vez que uma falha impede o lançamento de uma nova atualização, mas, convenhamos, é melhor a empresa suspender preventivamente a distribuição do patch do que corrigir a falha a posteriori, depois de milhares de usuários terem sido afetados.

Como se costuma dizer, “os pioneiros são reconhecidos pela flecha espetada no peito”. A prudência recomenda não migrar para uma nova versão nem instalar uma atualização abrangente do Windows no mesmo instante em que ela é liberada pela Microsoft. Sem mencionar que, para a grande maioria dos usuários do Windows 10, as novidades proporcionadas pelo novo update (build 1803) não valem o trabalho de reinstalar o sistema do zero para solucionar um eventual problema com a atualização. Pensando nisso, veremos na próxima postagem como suspender a atualização automática do Ten até que o update problemático seja corrigido, testado e aprovado.   

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

FALHA DE SEGURANÇA NOS PROCESSADORES INTEL PÕE EM RISCO DADOS DOS USUÁRIOS

UM PLANO QUE NÃO ADMITE MUDANÇAS É UM PLANO QUE NÃO PRESTA.

A segurança é um hábito e, como tal, deve ser cultivada. A internet é um terreno inóspito, e o conhecimento e a prevenção são fundamentais para que o atravessemos incólumes. Dito isso, vamos à notícia preocupante (mais uma de muitas, como bem sabe que ainda tem estômago para assistir ao noticiário): 

Processadores da Intel da última década são passíveis de uma falha de segurança que coloca dados do usuário em risco.

A falha em questão remete a um erro de design que permitiria a um cibercriminoso visualizar blocos de memória protegidos pelo sistema operacional e, portanto, acessar informações confidenciais do usuário da máquina vulnerável, como senhas e outros dados pessoais/confidenciais. Ela está presente em processadores Intel, independentemente da geração, e incide diretamente na relação entre o chip e o kernel (núcleo) do sistema operacional, seja ele o Windows, o Mac OS ou o Linux ― embora cada qual tenha seu modelo próprio de kernel, todos são vulneráveis).

Observação: Um sistema computacional é composto basicamente de dois segmentos distintos, mas interdependentes ― o hardware e o software ―, sendo o kernel a “ponte” ― ou elemento de ligação ― entre ambos. É ele quem “reconhece” os componentes de hardware, quem gerencia os processos, os arquivos a memória e os periféricos, quem decide quais programas em execução devem receber a atenção do processador, e assim por diante.

Até agora, sabe-se apenas que CPUs da Intel permitem que softwares maliciosos enxerguem dados mantidos em caráter protegido pelo kernel em alguns pontos da memória do computador. Dessa forma, um malware desenvolvido para explorar a brecha poderia ter acesso a um conjunto de informações importantes do usuário e do computador. Tanto a Intel quanto a Microsoft, a Apple e as comunidades GNU/Linux estão trabalhando numa solução para o problema, mas o que se obteve até agora tende a comprometer o funcionamento dos chips, resultando numa redução de 7% a 30% no desempenho, dependendo do modelo de processador e do tipo de atividade realizada durante a medição.

A correção só poderá ser procedida mediante um redesenho da forma como sistemas operacionais trabalham com as áreas protegidas da memória em que o kernel reside durante a operação de processos, ou seja, tornando o próprio kernel e esses espaços de memória invisíveis ao processador.

Máquinas com processadores da AMD não foram afetadas, há informações de que CPUs ARM, usadas em smartphones e tablets, podem apresentar falha similar.

Visite minhas comunidades na Rede .Link:

http://informatica.link.blog.br/

http://cenario-politico-tupiniquim.link.blog.br/

http://acepipes-guloseimas-e-companhia.link.blog.br/

WINDOWS UPDATE — RESOLVENDO PROBLEMAS

VOCÊ JAMAIS TERÁ DE EXPLICAR ALGO QUE NÃO DISSE.

Ainda que os sistemas e programas sejam testados exaustivamente antes do lançamento comercial, nenhum código é imune a bugs (erros) e, por isso, alguns problemas podem vir à tona mais adiante, quando então se impõe corrigi-los através patches (remendos) ou upgrades (novas versões). A indústria de TI trabalha com uma margem de erros (“x” bugs para “y” linhas de código) que reputa “aceitável”, até porque muitas falhas são inócuas e outras, apesar de incômodas, não comprometem a segurança dos usuários. No entanto, não faltam bugs que fragilizam o sistema e, para piorar, eles costumam ser prontamente explorados por “hackers do mal”, de modo que é fundamental neutralizá-los com a possível urgência.

Observação: Bug significa inseto, mas, no âmbito da TI, o termo é sinônimo de “defeito”, tanto de hardware quanto de software. Essa acepção se deve às frequentes queimas de válvulas provocadas pelas mariposas, que, atraídas pelo calor, invadiam os gigantescos mainframes da pré-história da computação. Aliás, circuitos de placas-mãe e de expansão destruídos por formigas (que buscam abrigo e calor no interior do gabinete) não são exatamente incomuns, mesmo nos dias atuais.

Uma falha que leva um aplicativo a travar de tempos em tempos não deixa de ser um aborrecimento, mas quando permite que um “hacker do mal” acesse e opere remotamente o PC, ela passa a ser um problemão. Para piorar, a atualização de softwares sempre foi considerada pelos usuários como coisa de importância menor; primeiro, por ser um processo trabalhoso e aborrecido (era preciso vasculhar os websites dos desenvolvedores em busca de atualizações/novas versões de seus produtos), segundo, porque muitos achavam que remendos e upgrades serviam apenas para tornar os aplicativos “mais pesados” e comprometer o já reduzido espaço disponibilizado pelos discos rígidos dos anos 80 e 90.

Por conta disso, a Microsoft criou o Windows Update — implementado no Win98 e aprimorado ao longo das edições subsequentes do sistema —, e o mesmo fizeram os demais desenvolvedores de software, ou pelo menos os mais zelosos. Assim, a maioria dos aplicativos atuais conta com um comando (geralmente em Ferramentas ou Ajuda) que, mediante uns poucos cliques do mouse, permite localizar, baixar e instalar as atualizações.

Observação: Ciente de que a maioria dos consumidores prefere amaldiçoar a escuridão a acender uma vela, a empresa de Redmond aprimorou seu serviço de atualizações, que foi rebatizado como Microsoft Update e passou a englobar aplicativos do MS Office e demais produtos Microsoft que porventura estejam instalados no PC.

Com o lançamento do segundo Service Pack para o Windows XP (para quem não sabe, um SP é uma coleção de updates e hotfixes destinada a corrigir bugs e agregar novas funções a um programa) veio a “Central de Segurança”, que tornou mais fácil identificar e solucionar algumas vulnerabilidades — basicamente, ela verifica se o firewall (nativo ou de terceiros) está habilitado, se existe um antivírus ativo e operante e se as atualizações do SO estão adequadamente configuradas. E para debelar a grita dos tradicionais insatisfeitos (como bem disse JFK, é impossível agradar todo mundo ao mesmo tempo), a Microsoft abriu o leque de configurações do Windows/Microsoft Update, e a despeito de padronizar a opção que automatiza a verificação, identificação, descarga e instalação dos patches, permitiu que a ferramenta fosse ajustada para apenas alertar os usuários da existência de atualizações ou baixá-las automaticamente, mas deixando a instalação a critério de cada um (essa liberdade foi bastante reduzida no Windows 10, mas isso já é assunto para se discutir noutra ocasião).

É importante frisar que os programas “não-Microsoft” não são contemplados pelo Windows/Microsoft Update, embora seja importante mantê-los devidamente atualizados. Antivírus e suítes de segurança que exigem atualizações constantes costumam oferecer como opção o update automático (permitindo ao usuário configurar o horário e a freqüência desejada) ou incluir em suas interfaces links ou botões para disparar manualmente o processo (procure algo como “atualizar” ou “check for update”). Outros apps trazem links em suas interfaces ou embutem comandos em seus menus — para atualizar o CCleaner, por exemplo, clique em Verificar atualizações, no canto inferior direito da janela principal; no Chrome e no Firefox, o processo é automático, mas você pode convocá-lo manualmente no primeiro pressionando o botão Ferramentas e clicando em “Sobre o Google Chrome”, e clicando em Ajuda > Verificar atualizações no segundo, e o mesmo vale para o Adobe Acrobat Reader, que se atualiza sozinho, mas também conta com o comando Verificar atualizações no menu Ajuda. E assim por diante.

Mesmo que esse procedimento seja bem menos trabalhoso do que o de alguns anos atrás, quando, como dito, era preciso visitar o website de cada desenvolvedor para garimpar eventuais correções e atualizações, existem diversas ferramentas capazes de vasculhar os softwares instalados no PC, identificar as versões desatualizadas em oferecer os links para as respectivas correções. Um bom exemplo — que eu uso e recomendo — é o FILEHIPPO APP MANAGER, mas há outras opções igualmente gratuitas e eficientes, dentre as quais vale citar o OUTDATEFIGHTER e o R-UPDATER.

Amanhã a gente conclui, pessoal. Abraços e até lá.

SEGURANÇA DIGITAL – FALHAS ZERO DAY (DIA ZERO)

CADA AÇÃO IMPLICA UMA REAÇÃO, E A IMPUNIDADE APARENTE É UM LOGRO.

Uma nova falha “zero-day” que afeta o Windows – com exceção da versão Server 2003 – foi descoberta dias atrás pela Microsoft. Segundo a empresa, o bug explora uma vulnerabilidade do POWER POINT que pode conceder a um cracker as mesmas prerrogativas do usuário legítimo do PC, abrindo as portas para a instalação não autorizada de sabe lá Deus o quê. A solução provisória, batizada pela Microsoft de “OLE packager shim workaroung”, funciona nas versões de 32-bit e 64-bit do PowerPoint 2007, 2010 e 2013.

Ataques zero-day se aproveitam de vulnerabilidades descobertas nos softwares antes que os fabricantes desenvolvam e disponibilizem as respectivas correções e geralmente buscam induzir a execução de códigos maliciosos mediante anexos de emails aparentemente interessantes e confiáveis, ou pelo redirecionamento da vítima para páginas contaminadas.

Observação: A Microsoft costuma utilizar ferramentas pró-ativas para garimpar incorreções em seus produtos, da mesma forma que os crackers mais sofisticados, que recorrem a fuzzers para identificar as brechas.    

Quando hackers sem vínculo com o desenvolvedor do software descobrem uma brecha (descoberta ética), eles costumam agir de acordo com um protocolo destinado a evitar ataques do dia zero – dando conta do problema ao desenvolvedor responsável e se comprometendo a não divulgar a descoberta até que a correção seja disponibilizada. Alguns, todavia, negociam com empresas de segurança digital, ou diretamente com os fabricantes dos softwares, a quem entregam as informações em troca de “recompensas” que podem chegar a centenas de milhares de dólares. Mas não é exatamente incomum essas falhas serem encontradas por crackers (hackers “do mal”), que as exploram ou negociam no submundo da TI.

Amanhã a gente conclui; abraços e até lá. 

A INSEGURANÇA DAS URNAS ELETRÔNICAS USADAS NO BRASIL

PRECISAMOS OLHAR ONDE TROPEÇAMOS, NÃO ONDE CAÍMOS.

Nas postagens de 20 de maio e 4 de agosto, falamos na confiabilidade (ou melhor, na falta dela) das nossas urnas eletrônicas – problema que muita gente atribui a delírios de alguns teóricos da conspiração, mas que me parece estar calcado em fatos reais.

Uma matéria publicada na Folha Política, no dia 9 de julho, dá conta de que um hacker de nome Rangel (supostamente vivendo sob proteção policial) afirma ter fraudado o resultado das eleições de 2012 para beneficiar candidatos da Região dos Lagos sem para tanto precisar invadir uma urna sequer (bastou-lhe obter acesso à intranet da Justiça Eleitoral do Rio de Janeiro).

Quer mais? Então vamos lá: o advogado e ex-ministro da Cultura Luiz Roberto Nascimento Silva publicou no jornal O Globo um artigo ponderando que, “num país onde se desvia merenda escolar, se rouba remédio popular e se desnaturam emendas parlamentares (...) é ingênuo não debater essa questão”. Já o doutor Antonio Pedro Dourado Rezende, do Depto. de Computação da Universidade de Brasília, em trabalho sobre o voto eletrônico esclarece: “A urna é confiável? É claro que a urna eletrônica é confiável, mas não no sentido que lhe dá o contexto costumeiro dessa pergunta. É confiável na medida em que uma máquina pode ser confiável, na acepção de ser previsível. No caso de uma urna, se entra software honesto, sai eleição limpa; se entra software desonesto, sai eleição fraudada”.

Mas nem tudo são más notícias. Segundo matéria publicada na Gazeta do Povo, aplicativo para celular batizado de Você Fiscal, financiado por doações, promete apontar possíveis falhas de segurança no processo eleitoral. O programa será usado para detectar qualquer tentativa de fraude ou erro no processo de totalização, que envolve a soma dos resultados parciais produzidos por urnas eletrônicas em todo o país. A ideia é simples: às 17h, quando a votação se encerra, os mesários são obrigados a fixar o boletim de urna na porta da seção eleitoral. O documento traz a contagem de votos naquela seção, separado por candidato. Com o aplicativo, será possível fotografar os boletins e enviar para a equipe da Unicamp. Lá, os pesquisadores vão comparar o boletim publicado com o resultado registrado e divulgado pelo TSE. Se alguém fraudar a urna depois da emissão do boletim, o aplicativo descobre.

Apesar de reconhecer que “os testes de segurança das urnas eletrônicas fazem parte do conjunto de atividades que garantem a melhoria contínua deste projeto”, o TSE não fará nenhum antes das eleições de outubro. Desde 2012, aliás, quando uma equipe de técnicos da Universidade de Brasília simulou uma eleição com 475 votos na urna eletrônica e conseguiu colocá-los na ordem em que foram digitados, o tribunal não expõe seus sistemas e aparelhos à prova de técnicos independentes, embora continue a afirmar que eles são seguros e invioláveis (para saber mais, clique aqui).

Que Deus nos ajude a todos.

SAIBA MAIS SOBRE A HEARTBLEED E PONHA AS BARBICHAS DE MOLHO

TUDO SEMPRE PARECE IMPOSSÍVEL, ATÉ QUE SEJA FEITO.

Numa conexão segura, o ícone de um pequeno cadeado e/ou o S adicionado ao HTTP do respectivo URL indicam que as informações trocadas entre nosso navegador e o respectivo servidor Web estão sendo criptografadas, mas daí a dizer que estamos totalmente seguros vai uma longa distância.

A Heartbleed – brecha de segurança descoberta há poucos dias no software criptográfico OpenSSL, mas supostamente presente desde as primeiras edições desse programa – não só expõe nossos dados confidenciais (nomes de usuário, senhas, emails, agendas de contatos e outros dados sensíveis), mas também permite que cibercriminosos trabalhem na surdina, sem deixar rastros (para saber mais, clique aqui).

OBSERVAÇÃO: Como o OpenSSL é amplamente utilizado, o bug afetou milhares de serviços online – mais de 12% dos 10 mil sites de maior tráfego na Web. O Google e a Microsoft escaparam incólumes, como também os brasileiros UOL, TERRA, IG e GLOBO. Em sites de instituições financeiras, o perigo é menor, pois geralmente há diversas camadas de segurança, tais como múltiplas senhas, tokens, e por aí vai. 

A pura e simples correção no servidor não resolve totalmente o problema, de modo que é recomendável trocar as senhas tão logo as empresas implementem o remendo. E quem precisa de anonimato para navegar deve ficar longe da web até a poeira assentar. 

Abraços e até mais ler.