Ontem fiquei das 23:00 até as 3:00 da manhã para desativar e só hoje consegui resolver definitivamente a infecção que explorou a vulnerabilidade do Java no Firefox (figura 1), sendo que já estou com a versão 11.

Notei que ao entrar no site uma empresa de software legitima, apareceu o ícone do Java e instalou um falso antivírus que não me deixava abrir nem o prompt de comando, gerenciador de tarefas ou outras aplicações.

Alem disso ele desabilitou o McAfee e não permitia acesso para atualização das politicas e DATs por ter desabilitado os serviços, como mostra o gerenciador NAP de conexão a minha rede corporativa (figura 2).

E o pior é que o McAffee só enxergou o trojan (figura 1) depois que eu MANUALMENTE fiz o update do DAT (Daily DAT Update) e já tinha achado o vírus em Modo de Segurança, que é um arquivo com o nome VWTFRZIUZ.exe no diretório TEMP dentro do perfil do usuário.

O motivo é que o JRE 6.0.31 é o Java não vulnerável, mas não atualiza o Firefox que continua com a versão antiga (figura 3) porque o instalador do JRE 6.0.31 não remove o JRE 6.0.30 que é vulnerável, e com os dois instalados a vulnerabilidade continua ativa (figura 4).

Recomendo que vocês façam o que tive que fazer depois de já infectado:

• Verifiquem qual o JRE que o Firefox de vocês está utilizando
• Se for anterior ao JRE 6.0.31 removam manualmente o JRE pelo painel de controle do Windows
• Instalem o JRE 6.0.31 pelo link: http://java.com/en/download/inc/windows_new_xpi.jsp se precisa do Java
• Desabilite o plugin do Java nos navegadores e habilite apenas nos sites que realmente necessita

Figura 1 – Trojan instalado utilizando a vulnerabilidade do JRE 6.0.1

Figura 2 – Antivirus desativado pelo trojan

Figura 3 – Aviso do Firefox de que o JRE 6.0.3 ainda estava instalado

Figura 4 – Coexistencia dos JREs, sendo que o 6.0.3 é o vulnerável

Nota: Desde que publiquei este post a primeira vez em 15/06/2010 vários desdobramentos ocorreram. Eu estou linkando outras fontes e destacando as atualizações.

Desde que a Sun Microsystems comprou o MySQL que comento com meus amigos e alunos que isso parecia uma manobra comercial (http://www.mysql.com/news-and-events/sun-to-acquire-mysql.html). O motivo é que a Sun já amargava prejuízo a um bom tempo e esta compra não parecia lhe trazer benefícios. Passado um ano começamos a ver a movimentação da IBM e da Microsoft para comprar a Sun, que acabou sendo vendida para a Oracle em abril/2009 (http://info.abril.com.br/noticias/negocios/oracle-compra-sun-por-us-7-4-bilhoes-20042009-5.shl).

A Oracle não é uma empresa que tem o costume de manter produtos que compra e sim agregar os colaboradores. Tanto é que produtos como PeopleSoft, BEA e JD Edwards já tiveram seus programadores desviados e os produtos estão ficando desatualizados. Sendo assim, qual impressão tenho desde este evento, e o que está se confirmando?

Oracle declarada inimiga do Open Source (11/11)

Nos ultimos dias se avolumou os problemas com a Oracle o os integrantes de programas Open Source:

• Suporte ao MySQL passou de U$ 200 para U$ 1000
• Grandes empresas abandonam o OpenOffice e criam um novo pacote (ler abaixo)
• Scott McNealy, ex-CEO da SUN decalra que a Oracle é conta o principio de partilhar alguma coisa, e sugere que os grandes players tomem atitudes para garantir a independencia http://computerworld.uol.com.br/negocios/2010/11/05/compra-sun-oracle-java-1/
• Fundação Apache declara “guerra a Oracle” e depois amplia “não é Oracle contra Apache e sim Oracle contra Open Source” http://computerworld.uol.com.br/tecnologia/2010/11/11/nao-e-oracle-contra-apache-e-oracle-contra-o-open-source/

Oracle começa a mostrar o que quer com a Sun

A Oracle quer ter seu próprio hardware e software. Isso pode ser notado claramente na noticia de que a Oracle deu indícios de que irá “fechar” o Open Solaris neste sábado, dia 14/8 (http://computerworld.uol.com.br/negocios/2010/08/16/oracle-vai-abandonar-o-pacote-opensolaris/) incluindo referencias a que irá proteger seus direitos autorais com as distribuições sobre o CDDL, e note o tom sugestivo do comunicado "”…não podemos permitir que concorrentes criem recursos ligados a partir de nossas inovações, antes de nossa organização.”

A frase acima é importantíssima por vários motivos. Primeiro, demonstra que a Oracle não tem a mínima intenção de evoluir produtos que são gratuitos, o que inclui o Java e o MySQL. Segundo, a Oracle não tem interesse em compartilhar com as comunidades suas inovações, já que é uma empresa voltada ao lucro.

Outros indícios disso são o fato de que a Oracle na quinta dia 12/8 processou o Google por utilizar uma variação “não autorizada” do Java no Android (http://computerworld.uol.com.br/negocios/2010/08/13/oracle-processa-google-pelo-uso-de-patentes-java-no-android/). A alegação é que o Java e suas VMs são baseadas em distribuição abertas, mas isso não dá direito a que se criem novas engines utilizando o que seria “…diretamente e repetidamente infringiu a propriedade intelectual ligada ao Java…”. Ou seja, usar o Java tudo bem, mas criar novas funções a partir do Java é visto como uma violação.

Mais uma reviravolta foi quando a biblioteca ODF que converte documentos feita em Java pela Sun passou a ser cobrada no começo do ano (http://www.guj.com.br/posts/list/204350.java), preocupando quem utilizava esta importante ferramenta.

E agora, o que podemos esperar?

Java – Seu futuro é incerto como o de Santo Cristo na voz do Legião Urbana. Dois problemas muito sérios existem:

1. O Java não é GPL puro já que a JCP pode barrar qualquer coisa, com a intenção de impedir que fossem feitas “bagunças” nas classes e ficasse uma baderna. Ou seja, qualquer incremento pode ser visto como um “crime” pela Oracle, como está fazendo com o Google (http://forum.datasus.gov.br/viewtopic.php?f=32&t=163)
2. A Oracle é um empresa monetizada, e até que ponto ela irá manter o Java gratuito (não é e nunca foi aberto), sendo que no momento da compra da Sun o Java foi indicado como o grande desejo da Oracle?   O próprio Goslin declarou nesta quarta (25/8) que já está pensando em formas de manter o Java vivo e que a conferencia JavaOne agora em setembro é o ponto crucial nesta discussão. Mas ele já coloca que para dar certo o movimento tem que começar com clientes da Oracle que fazem diferença monetariamente (http://computerworld.uol.com.br/negocios/2010/01/22/sob-o-controle-da-oracle-futuro-do-java-e-incerto/ e http://computerworld.uol.com.br/tecnologia/2010/08/25/pai-do-java-pressao-pode-fazer-com-que-oracle-mude-postura/)
3. Atualização em 30/08: Google resolveu se ausentar do JavaOne, maior evento de Java e um dos maiores e mais respeitados eventos dos apoiadores de open source. O motivo declarado pelo Google é que o “processo contra o Google e o código aberto tornou impossível para nós compartilhar livremente nossos pensamentos sobre o futuro do Java e do open source de forma geral”. Com certeza uma afirmação “dolorosa” e expressiva (http://computerworld.uol.com.br/negocios/2010/08/27/google-cancela-presenca-no-javaone-apos-briga-com-a-oracle/)

Java para celulares – Ai reside um problemão. O MIDP e o J2ME são padrões aceitos pelo JCP, mas outros padrões utilizado em alguns celulares da Motorola, Sony Ericsson e outros são customizados como foi feito no Android. O que a Oracle vai fazer?  Se já foi brigar com o “grandão” Google vai poupar os outros?

OpenOffice – A Oracle não irá manter as atualizações tão constantes e deverá deixar grande parte do trabalho para a Novell e IBM, parceiras do projeto. E não duvido que não passe a cobrar versões mais sofisticadas, como acontece com o BROffice e recentemente com o plug-in ODF.
Atualização em 28/09: A Document Foundation se desligou e iniciou um projeto alternativo exatamente por conta da Oracle, conforme o comunicado oficial a imprensa (http://www.documentfoundation.org/contact/tdf_release.pdf), e um dos seus representantes, o famoso Richard Stallman também atribui isso aos movimento da Oracle, mesmo sem dizer o nome da empresa (http://www.documentfoundation.org/supporters/). Veja que os principais mantenedores do OpenOffice estão neste novo projeto, como FSF, Novell, Google, Red Hat, Ubuntu, Gnome e outros.

MySQL – Duvido que a Oracle irá manter um produto que compete com o que ela é de origem. Não sei o que será feito, mas o Oracle Express Edition não está ai para ser um capacho do MySQL.

OpenSolaris – Já está claro o que vai acontecer com este SO.

VirtualBox – É com dor no coração que acredito no mesmo futuro que o OpenOffice, só que mais cedo. Em pouco tempo a equipe será desmontada e o produto irá começar a definhar, a menos que decidam uma versão paga. Já penso em me preparar para outro virtualizador que faça VMs em 64 bits no Windows 7.

Quem é o maior beneficiário disto tudo?

Se alguém falasse que isso tudo está sendo feito pela Microsoft logo diriam que estariam comprando o produto só para prejudicar e depois vender o .NET, mas não é o caso.

Mesmo assim, o maior beneficiário é a Microsoft, por vários motivos. Primeiro é a incerteza do futuro do Java. Segundo que a Oracle, parceira de longa data da HP e IBM, passa a competir com estes no mercado de hardware e SO para servidores. Terceiro que do mesmo capitalismo que acusam a Microsoft a Oracle é mestre. E por fim, tantos odeiam o Larry Elisson quanto odeiam o Bill Gates.

O .Net se firma como uma plataforma confiável para o futuro, a Microsoft poderá receber incentivos para melhorar seus sistemas para competir com os storages pela Dell e IBM. A HP pode contribuir com máquinas para datacenter mais “parrudas” e embutir o Windows como padrão. O SQL Server ganha espaço com a incerteza do que irá acontecer com o MySQL e os custos bem mais altos de licenciamento do Oracle.

As possibilidades são várias, o que resta é esperar para ver o que vai acontecer e torcer para ninguém sair machucado nesta guerra que está só começando. Mas uma certeza já tenho, a Oracle não brinca em serviço e está mostrando qual é a sua intenção.