segunda-feira, 21 de janeiro de 2013

Mais problemas para o "processo eletrônico": falhas de segurança do JAVA

No ano passado, publicamos um artigo sobre os problemas de interoperabilidade que os sistemas de processo eletrônico apresentam, eis que todos os tribunais do país têm usado tecnologias restritivas e específicas para a comunicação via web. Sabendo-se que uma das razões do sucesso da própria Internet, e da Web, foi a sua interoperabilidade, isto é, a possibilidade de comunicação entre aparelhos, sistemas, programas diferentes, desde que observadas "linguagens" comuns (os protocolos TCP/IP, o padrão HTML, etc), os sistemas judiciais nacionais transitam claramente na contra-mão.

Como consequência, os sites de acesso ao "processo eletrônico" não funcionam na multiplicidade de sistemas operacionais disponíveis no mercado, exigindo ainda que o advogado-usuário tenha configurações bastante específicas em seus computadores. Ocorrem até mesmo problemas com versões mais recentes do Windows, incompatíveis com os sites de alguns tribunais. Tudo isso dificulta a utilização, exigindo conhecimento bem além do básico para se conseguir habilitar um computador pessoal a acessar nossa justiça online.

Mas o que era ruim sempre pode ficar pior...

Todos os tribunais de que tenho notícia utilizam applets Java em seus sistemas para envio de petições eletrônicas. Entre as recomendações de configuração, o usuário deve instalar o respectivo plugin, ou extensão. Como tenho dito há tempos, tomaram o caminho mais difícil. Poderiam ter planejado um sistema que permitisse o usuário assinar off-line e apenas fazer upload da petição já digitalmente assinada. Uma página simples para upload funcionaria com qualquer coisa. Se sua geladeira ou torradeira tiverem acesso à web, daria para peticionar com elas em um modelo assim mais simples. Durante alguns anos, simulei com alunos de graduação um modelo como esse, que se mostrou bastante leve e prático, e não exigia que o "usuário" tivesse qualquer configuração especial em seus aparelhos.

Nas últimas semanas, o Java foi para a berlinda. Descobertas falhas de segurança em sequência nos últimos meses, corrigidas logo após, o mais recente ato dessa novela é que a Fundação Mozilla simplesmente colocou a versão corrente do Java na sua "black list"! Se você utiliza o Firefox (ao menos nas suas versões mais novas), verá que o Java foi simplesmente desabilitado e no momento não há uma versão mais nova para instalar.

Noutras palavras, se estiver usando a versão mais atualizada do Firefox, os sistemas dos tribunais não vão funcionar!

Aparentemente, há meios de contornar o problema e continuar a utilizar o Java, mas... será que é prudente?

Bem... ao menos para o U.S. Department of Homeland Security, a recomendação é desabilitar o Java.

Algum tribunal do Brasil já pensou no que fazer com seus sistemas de e-proc, que exigem dos advogados a instalação do Java? Será que algum deles sabe do que eu estou falando?

PS: A propósito, os sistemas de Internet Banking também costumam usar "módulos de segurança" baseados em Java...

Mais informações nos links:

New Java exploit sells for $5000 on black web; possible threat to millions of PCs

U.S. warns on Java software as security concerns escalate 

New Java Exploit Fetches $5,000 Per Buyer 

Protecting Users Against Java Vulnerability (Mozilla Security Blog)

2 comentários:

AutodidatA disse...

Salvo melhor juízo, a exploração só aconteceria se um site falso fizesse as vezes do site genuíno dos tribunais, o que exigiria artimanhas outras (afinal, os sistemas utilizam técnicas anti CSRF, por exemplo). Quanto ao Java, o alarde é deveras fenomenalista, e dizer que a tecnologia está fadada à inutilização por conta de uma brecha em seu plugin é uma atitude apressada, no momento.

Anônimo disse...

Caro Marcacini,

A questão não envolve apenas problemas de gestão de sistemas, mas de políticas adotadas pelos Tribunais. A pergunta é: será que eles tem noção desses problemas? Que benefícios se colocam como vantajosos, considerando-se os riscos e problemas? A segurança, a agilidade e a eficiência do sistema não me parecem ser o foco dessa política.