-->

sexta-feira, 12 de dezembro de 2008

Por que não gosto de atualizações automáticas?

Nada melhor que um exemplo:

No meu último emprego eu recebi a tarefa de colocar para funcionar uma pequena rede de cinco computadores. Se você já teve dificuldades bizarras para colocar uma rede Windows deste tamanho para funcionar, imagine uma onde quatro computadores rodam DOS. E estes tem que compartilhar arquivos com um servidor Windows 2000 server, sendo que as máquinas DOS é que iam ter compartilhamentos, que um programa no Windows ia acessar para coletar dados. Dependendo do ângulo por onde você olhar, as máquinas DOS é que são os servidores nesta rede.

Não é realmente difícil, quando você sabe fazer. E eu não sabia. Jogar DOOM numa rede DOS era moleza, mas compartilhar aquivos? E com o fresco do Windows 2000? Nunca havia precisado antes. Depois de dias pesquisando pela internet e testando disquetes de boot (não, 386s não tem USB) finalmente fiz funcionar. A parte mais complicada, quando você sabe, é conseguir placas de rede que funcionem.

Um outro dia, talvez, eu explique o propósito dessa rede. E não, fazer upgrade nas máquinas DOS não era opção.

A rede ficou lá instalada e, meses depois, meu chefe me comunicou que havia parado de funcionar. De um dia para o outro as quatro máquinas DOS tinham deixado de enxergar a máquina Win2K e vice-versa.

Eu não me lembro por quanto tempo apanhei com isso, mas foi bastante. Eu pude determinar rapidamente que todas as cinco máquinas continuavam "na rede", porque enxergavam outras máquinas. Mas não se enxergavam. Chegou um momento em que decidi instalar outro servidor Windows 2000, do mesmo jeito que havia instalado o primeiro, para comparação. E as máquinas DOS imediatamente enxergaram o novo servidor.

Detalhe: ninguém tinha a senha para mexer na máquina Windows, a não ser eu, meu chefe e o programador.

Eu não gosto da idéia de resolver problemas formatando e eu tinha o aval de meu chefe para levar o tempo que fosse preciso para descobrir o que realmente havia acontecido, pois correr o risco de que acontecesse novamente e nós de novo ficarmos com cara de bobos olhando para o servidor não era opção. Eu não me lembro mais dos meus procedimentos, mas depois de muita comparação e pesquisa, descobri que na instalação problemática o arquivo responsável pelo protocolo NETBEUI era diferente do que eu havia instalado e que havia uma cópia de backup dele (esta era o arquivo correto) em outro lugar, que em seguida descobri ser um backup de atualização automática do Windows 2000.

Mas essa máquina não deveria ser capaz de fazer atualizações! Nem sequer deveria ter acesso à internet!

Não demorou muito para eu entender o que havia ocorrido. O servidor era conectado, para conveniência da gerência, à rede da empresa (nós da eletrônica tinhámos nossas próprias redes, independentes, até porque o pessoal de TI da fábrica parecia ter a missão de nos atrapalhar e não ajudar) e naquele período o acesso à internet foi liberado para a rede inteira, sem senha (normalmente, acesso à internet requeria logon específico). Eu não havia desligado a atualização automática do windows 2000 (honestamente, acho que na época eu nem sabia que ele tinha isso) e o SO ao detectar o acesso aproveitou para se atualizar...

16/12/08: faz sentido que eu não soubesse das atualizações automáticas do 2000. Isso passou a existir a partir do SP3.

A MS precisou fazer uma atualização de segurança no netbeui do 2K e cortou a funcionalidade que permitia a conexão com máquinas DOS (afinal, quem ainda está usando DOS, né?).

O resultado foi esse aí. No primeiro reboot, a rede DOS-Win2K parou de funcionar.

Desliguei as atualizações, substituí o arquivo e elaborei uma nota explicando o problema, pro caso de acontecer de novo com outro técnico. Apesar do pessoal de TI da fábrica saber que não deveria mexer nos nossos computadores (e respeitar isso, apesar da gerência de TI não gostar nem um pouquinho), ainda havia a possibilidade de por uma combinação de enganos, alguém aparecer por lá e ligar as malditas atualizações.

Eu não consigo me lembrar, de cabeça, de um único problema que eu tenha tido que possa ser diretamente relacionado com falta de atualizações do Windows. Mas eu posso citar de cabeça alguns problemas como esse, indubitávelmente provocados por elas.

04/09/09: Mais um problema causado por atualizações automáticas.

18 comentários:

  1. Se você não se lembra de nenhum problema relacionado a falta de atualizações do Windows, vou lhe dar apenas um: virus.
    As atualizações corrigem erros e bugs que são explorados por exploits e bots.
    Hoje uma instalação do Windows gold, sem nenhuma atualização é infectada em poucos minutos por bots, basta estar conectada a Internet.
    Claro que há a parte ruim, como o consumo de banda, as mensagens de Windows pirata, a espera ao desligar o PC e outros problemas como esse da sua rede DOS.

    Mas, desativá-las é um tiro no próprio pé. Por isso vejo as atualizações como um mal necessário.

    Parabéns pelo excelente blog ;)

    ResponderExcluir
  2. Fabio,

    Eu estava me referindo a problemas práticos, experiência em primeira mão, e não ameaças teóricas.

    E eu estou falando de atualizações automáticas e não das feitas sob estrito controle do usuário, que sabe o que está sendo atualizado e por que.

    Com "Windows Gold" você deve estar se referindo a "Windows XP Gold", a primeira versão do XP, certo?

    Sim, eu tive problemas com a primeira versão do XP, mas no computador de uma única outra pessoa, porque não testo os "betas públicos massivos" da MS (ainda não uso o Vista). Acho que metade dos "early adopters" teve problemas, porque o Blaster era fulminante. Mas o XP tem atualizações automáticas e isso não impediu a ação do Blaster.

    E vai continuar não impedindo, já que os safados estão esperando a publicação dos patches mensais da MS para colocar os exploits "on the wild" no dia seguinte, ganhando assim até um mês de farra a não ser que seja sério o bastante para a MS fazer um patch emergencial DEPOIS de milhares de instalações ao redor do mundo terem sido afetadas.

    Até sair o SP3, eu usei o SP2 por anos sem qualquer atualização em todos os meus computadores. Nunca tive problemas que pudesse atribuir a isso.

    ResponderExcluir
  3. "Se você não se lembra de nenhum problema relacionado a falta de atualizações do Windows, vou lhe dar apenas um: virus."

    BS (bullshit)...
    Cansei de ver maquina com trocentas procarias baixadas pelo update automático, que só servem para deixar o micro lento, E INFECTADAS do mesmo jeito...

    O update automático do win é a coisa mais estúpida que existe...

    Mas um dia quem sabe eles aprenderão a fazer dist update, dist upgrade...

    ResponderExcluir
  4. "Mas o XP tem atualizações automáticas e isso não impediu a ação do Blaster.

    E vai continuar não impedindo,"

    O problema não é o monte de lixo que é instalado pelo windows update automático.
    O problema é que a maioria esmagadora está usando seus XPs com conta admin, e usando como navegador o IEca, que compartilha DLLs com o próprio S.O., daí se der merda no IEca, vai dar merda no S.O.

    Usar FF/Opera/Chrome/Whatever é muito mais inteligente e seguro...

    ResponderExcluir
  5. O que me adianta o windows update automatico instalar suporte a sânscrito, íidiche, azteca e outras línguas, se
    o que eu preciso é um navegador desassociado do S.O, e que não seja vulnerável.
    (Nem vou falar nos controles ActiveX)

    ResponderExcluir
  6. Que eu me lembre "suporte a sânscrito, íidiche, azteca e outras línguas" não é instalado automaticamente. As unicas autalizações automáticas são as que vem com status de "críticas". Estas que você citou sempre vem com status de "recomendadas"

    Sempre usei o windows update, mas nunca o deixo com download e instalação automática, deixo para somente avisar e gosto de dar uma olhada no que esta sendo instalado, para que se necessário poder remover depois (coisa que nunca aconteceu)

    ResponderExcluir
  7. Eug,

    Eu concordo que se as pessoas não usassem o Windows logadas como admin, muitos dos problemas de hoje não ocorreriam. Porém é preciso ter em mente que, ao contrário do que se crê por aí, também é possível infectar contas de usuário limitado.

    Se de um dia para o outro todo usuário de windows passasse a usar contas limitadas, os autores de malware iriam focar nos métodos e nas limitações de infecção dessas contas, mas as infecções continuariam ocorrendo. A única diferença é que cada usuário só teria poder de infectar sua própria conta e seus próprios arquivos, sem danos para o resto do Windows.

    O problema do IE é semelhante. Mesmo que de uma hora para outra ninguém mais usasse o IE, as pessoas continuariam entregando seus sistemas ao inimigo ao executarem anexos de e-mail.

    ResponderExcluir
  8. "Sempre usei o windows update, mas nunca o deixo com download e instalação automática, deixo para somente avisar e gosto de dar uma olhada no que esta sendo instalado,"

    Na minha experiência, a maioria dos usuários não olha nada... O windows instala tudo o que lhe dá na telha automaticamente... Inclusive suporte a idiomas que a vítima não vai usar...

    ResponderExcluir
  9. "Porém é preciso ter em mente que, ao contrário do que se crê por aí, também é possível infectar contas de usuário limitado."

    Claro que sim, mas em modo não-admin certas chaves do registro não seriam afetadas, ou pelo menos seriam mais difíceis de serem afetadas. Precisaria escalar privilégios...

    "mas as infecções continuariam ocorrendo. A única diferença é que cada usuário só teria poder de infectar sua própria conta e seus próprios arquivos, sem danos para o resto do Windows."

    E isso já não seria uma vantagem?

    Ainda mais se vc criar pontos de restauração, e contas separadas para p. ex, home-banking, games,
    sites "educativos", warez, etc e tal...


    "O problema do IE é semelhante. Mesmo que de uma hora para outra ninguém mais usasse o IE, as pessoas continuariam entregando seus sistemas ao inimigo ao executarem anexos de e-mail."

    É mais inteligente ter que salvar o anexo manualmente, "chmod 777 arquivo", "sh ./arquivo", né?!
    Em vez de sair executando automaticamente...

    Um dia eles aprendem!
    Ou quem sabe, no windows seven-boys eles usem o kernel do suse!!!! E só coloquem por cima as perfumarias, tipo aero, wmp e msn...

    ResponderExcluir
  10. @Jefferson:
    Por padrão as atualizações baixadas são as críticas, ou seja, aquelas necessárias para proteger a máquina de novas infecções.
    Não são ameaças teóricas, mas sim reais, que são exploradas largamente. A falha do MDAC é explorada ativamente, inclusive aqui no Brasil. Quem usa IE6 *desatualizado* é infectado simplesmente ao acessar uma página html. Quem tem a atualização instalada, está protegido.

    O Blaster se disseminou por uma simples razão: poucos usavam firewall. Na época eu era usuário fiel do ZoneAlarm e não fui infectado. Por isso o SP2 trouxe o firewall embutido, que protege o sistema totalmente. O problema do Blaster se espalhar é porque a grande maioria demorou pra instalar o SP2. Cansei de ver "técnico" meia boca desativando o firewall, aí é claro, a máquina é infectada.

    @eug:
    A máquina pode até estar atualizada, mas isso é vencido quando o próprio usuário executa e instala o virus. Ah, já cansei de ver contas limitadas infectadas com malware, geralmente culpa do próprio usuário.

    Pra finalizar, volto a repetir: desativar atualizações críticas, que protegem o sistema é um tiro no pé.

    ResponderExcluir
  11. "Por isso o SP2 trouxe o firewall embutido, que protege o sistema totalmente. O problema do Blaster se espalhar é porque a grande maioria demorou pra instalar o SP2."

    O firewall do xp é uma piada.
    Pode ser desligado por 3os, ao acessar um site.
    Ter o firewall do xp e não ter fw, é a mesma coisa.

    Já o zonealarm, comodo, iptables é outra conversa...

    ResponderExcluir
  12. Eu acredito na regra de que não se conserta o que não está estragado. É como atualização de BIOS de placa-mãe. Tá tudo funcionando? Não mexe! Se a atualização não é pra acrescentar um recurso que você vai usar ou corrigir um erro que te atinge, deixa do jeito que tá.

    Acho que está bem claro no post que aquele computador nem deveria acessar internet, portanto tava bom do jeito que tava, não precisava proteger ele de nada. A atualização ali só serviu pra atrapalhar.

    E eug, dá perfeitamente pra alguém detonar uma instalação do Windows sem ser usuário administrador. Quem pensa o contrário nunca precisou dar manutenção em computadores que outras pessoas usam.

    ResponderExcluir
  13. Como o David disse, a maquina nao tem que ter acesso a internet entao nao precisa "atualizar".

    É utilizado por um sistema muito antigo e mais nada.

    ResponderExcluir
  14. As atualizações são importantes...e resolveram muitos problemas para mim.

    O windows xp mesmo só reconhece a criptografia WPA da tacnologia sem fio com o SP2.

    O que faltou ai é uma gerência das atualizãções que deve ser realizado em um ambiente coorportativo. Não é cada estação que decide se atualizar...mas sim o administrador que decide o que deve ou não ser instalado no parque de computadores.

    A administração das atualizações pode ser configurada por politica de grupo e pela utilização da ferramenta WSUS da própria microsoft. Com ela vc pode inclusive recusar as atualizações que considera ruim para sua rede..ou escolher um grupo de computadores que não irá recebê-la.

    ResponderExcluir
  15. curiosamente, ontem na ZDNet tinha matéria sobre problemas causados num Mac, pela atualização automática do Firefox 3.0.5, num ambiente Mac

    http://blogs.zdnet.com/Apple/?p=2668

    ResponderExcluir
  16. "Sempre usei o windows update, mas nunca o deixo com download e instalação automática, deixo para somente avisar e gosto de dar uma olhada no que esta sendo instalado, para que se necessário poder remover depois (coisa que nunca aconteceu)"

    Meu Deus do céu, o "esperto" que diz uma coisa dessas, nunca deve ter tentado desinstalar uma atualização do Windows.

    Eu parei de instalar todas as atualizações do Windows, depois que um "Patch de Segurança Crítico" me deixou o Windows 2000 SEM BOOT (simplesmente passou a dar "stop error" direto sem nenhuma explicação plausível...)

    Só teve uma coisa que me salvou nesse dia: "WinRescue 2K" (Jefferson, perdoe o merchandising não-intencional).

    TODO MUNDO sabe (mesmo os que têm um poster do Bill Gate$ na parede sabem, porém negam até morrer) que o Windows é o sistema mais visado, lento, pesado e ineficiente, e isso tende a aumentar à medida em que as "atualizações cumulativas", "mandatórias" e "de segurança" são instaladas.

    Sem falar que não acredito em quem diz que "lê" o que está sendo instalado, pois nenhuma das atualizações citadas dá qualquer indicação clara e detalhada do que está sendo alterado no sistema. Então, se você faz questão realmente de instalar esses venenos no seu micro, é bom que tenha uma forma de "voltar no tempo" (mesmo o XP é falho nesse quesito), pois não tem outro jeito de desfazer o que a M$ estraga.

    E quanto a ameaças de vírus e outras coisas: Só entra virus no seu computador se você deixar. Se você tem um bom antivírus (a M$ não te dá opção nenhuma - mesmo que tivesse, EU não usaria!), não baixa qualquer porcaria que encontra por aí dando sopa, não fica cegamente clicando "OK" e "YES" em tudo quanto é pop-up que abre no seu micro (aliás, se vc tem muitos pop-ups aparecendo, deveria rever seus hábitos de internet, pois esse tipo de coisa só aparece em sites não muito confiáveis) e não vai abrindo links e/ou baixando arquivos .scr e .exe de e-mails não-solicitados, e principalmente, NÃO USA O IE para navegar na internet, você já eliminou uns 90% de todas as ameaças da internet.

    Enfim, hoje eu só deixo o Update baixar as atualizações de definições do Windows Defender (sim, eu uso o Windows Defender, desde antes dele ser o Micro$oft Antispyware - que aliás, foi comprado pela M$, porque era o melhor AntiSpyware do mercado, e ainda é) - o resto, não entra MESMO.

    Resumindo: O Windows pode se tornar um sistema consideravelmente seguro e relativamente estável, contanto que você utilize aplicativos confiáveis de terceiros, que suprem as deficiências nativas do SO (e não confie nas atualizações e patches da M$).

    ResponderExcluir
  17. Pessoal, acho que radicalismos são incosequentes. Vejam que o Conflicker se espalha hoje por PenDrives e até compartilhamentos de rede, explorando uma falha que foi corrigida em 23/10/2008 e postado para atualização nas atualizações automáticas desde aquela data.

    Minhas máquinas, que têm as atualizações ligadas, nem cheiraram esse tal conflicker, ao contrário das mais de 10 milhoes de outras máquinas infectadas pelo mundo, por quem se recusa a atualizar o sistema.

    Se não quer atualizações automáticas ligadas, pelo menos uma vez por mês vá ao Windows Update (acessando-o de todas as suas máquinas de rede) para atualizá-las, porque o conflicker não exige que você navegue na Internet.

    Apenas requer uma máquina infectada na rede (por pendrive, por exemplo) e outras vulneráveis, sem atualizações. Ele se encarrega de se transmitir pelos compartilhamentos (até de auto-discovery - IPC$).

    Agora, se você não quer atualizações automáticas e nem tem paciência para ficar indo na Microsoft todo mês, aí meu amigo, mude para um sistema operacional desconhecido pois, atualmente, nem o Linux está imune a virus e invasões.

    Como eu costumo a dizer: não existe sistemas seguros. Existem sistemas desconhecidos.

    A quantidade de risco que você corre ao usar um sistema operacional é proporcional à popularidade dele, que vai fazer com que hackers procurem brechas para controlar um número maior de computadores.

    Se você quer um sistema seguro, faça um.

    ResponderExcluir
  18. "Agora, se você não quer atualizações automáticas e nem tem paciência para ficar indo na Microsoft todo mês,"

    Um projeto que era muito bom e que foi morto pelos advogados da microsoft era o autopatcher.

    "atualmente, nem o Linux está imune a virus"

    Por favor cite um que exista fora dos laboratórios e que não precise da ajuda do usuário para funcionar.

    > e invasões.

    Pelo menos o iptables/netfilter é melhor que o fw do windows.


    "A quantidade de risco que você corre ao usar um sistema operacional é proporcional à popularidade dele,"

    Besteira.
    Apache é mais usado que o IIS e no entando não foi afetado com coisas do tipo CodeRed e Nimda.


    "Se você quer um sistema seguro, faça um."

    Já fizeram: Unix (bsd, linux, solaris...)

    ResponderExcluir

Siga as regras do blog ou seu comentário será ignorado.