Czas dać Java rozruchowi?

Czy nadszedł czas, aby dać Java boot? Eksperci twierdzą, że tak.

Java, język programowania zaprojektowany tak, aby uczynić internet zabawnym i interaktywnym, stał się jednym z najsłabszych ogniw w obronie komputerów i komputerów Mac przed zewnętrznymi zagrożeniami. Zastanówmy się nad najnowszą luką w Javie, słabością, która jest obecnie wykorzystywana przez dystrybutorów szkodliwego oprogramowania: Gdy Oracle, producent Javy, wydał aktualizację awaryjną w celu naprawy oprogramowania, analitycy bezpieczeństwa zgłosili, że nawet kod "hot-off-the-press" zawiera dodatkowe luki.

Ale najnowsze problemy z bezpieczeństwem w Javie nie są wyjątkowe. Firma ochroniarska Sophos, na przykład, obwinia bazową lukę w Javie za ataki złośliwego oprogramowania Flashback, które w kwietniu zainfekowały jeden z pięciu komputerów Mac.

[Dalsze informacje: Jak usunąć złośliwe oprogramowanie z komputera z systemem Windows]

Ryzyko, które niesie przeważają nagrody, mówią eksperci ds. bezpieczeństwa. "Powiedziałbym, że 90 procent użytkowników nie potrzebuje już Javy", mówi Dominique Karg, założyciel i główny specjalista ds. Hakowania w AlienVault, firmie produkującej oprogramowanie zabezpieczające. "Uważam się za" mocnego użytkownika "i ostatni i jedyny raz, kiedy zdałem sobie sprawę, że mam zainstalowaną Javę na moim Macu, kiedy musiałem ją aktualizować."

Jeśli posiadasz komputer, wiesz o tym dokuczliwym poczuciu niepewności "poproszony o aktualizację komputera z systemem Windows po raz kolejny. Może to być tylko umiarkowanie uciążliwe, ale jest to comiesięczne przypomnienie, że twój komputer i zawarte w nim informacje osobiste pozostają celem przestępców.

Przez lata zarówno Apple, jak i Microsoft stwardniały systemy obronne swoich systemów. System operacyjny Mac był prawie odporny na luki w zabezpieczeniach, a firma nie dostarcza już nowych urządzeń z preinstalowaną Javą. Firma Microsoft złożyła pełną sądową prasę, aby wyeliminować luki na poziomie systemu operacyjnego od wybuchu robaka Conficker pod koniec 2008 r., A od tego czasu żadne inne porównywalne robaki nie zaatakowały systemów Windows.

Mozilla i Opera, a także Microsoft, twórca Internetu Explorer, spędził większą część ostatniej dekady na zahartowaniu swoich przeglądarek przed atakami poprzez nieustępliwą paradę aktualizacji. Na przykład Mozilla wymienia 2237 błędów - nie wszystkie błędy bezpieczeństwa - które zostały naprawione w wersji 15 przeglądarki Firefox, która została opublikowana 28 sierpnia.

Ale nawet jeśli twoje bezpieczeństwo systemu operacyjnego i przeglądarki jest zainspirowane przez Fort Knox , źli faceci zawsze wydają się znajdować nową lukę w zbroi.

Java: słabe ogniwo w łańcuchu bezpieczeństwa

Teraz, gdy trudniej jest przeniknąć do przeglądarek i systemu operacyjnego, złodzieje danych zmienili taktykę, kierując dwa pozostałe najsłabsze linki: wtyczki lub dodatki przeglądarki innych firm i samych użytkowników. Jako wtyczki stron trzecich, Java nadal jest wykorzystywana jako pojazd do zautomatyzowanych ataków typu "drive-by", często obsługiwanych przez tanie zestawy exploitów sprzedawane na czarnym rynku. Firma Forbes opublikowała w marcu listę cen pokazującą, jak nikczemni nabywcy zapłacą za wyłączny dostęp do nowej, tzw. Luki zero dni. Nagroda w wysokości od 40 000 do 100 000 USD to więcej niż wystarczająca motywacja dla programistów wykorzystujących exploity do wczesnego rozpoczynania pracy i do późna.

Jedną z atrakcji jest wszechobecność Javy. "To prawie komplement dla programistów Java", mówi Steve Santorelli, dyrektor globalnego zasięgu Team Cymru, organizacji non-profit zajmującej się badaniami nad bezpieczeństwem na Florydzie. Java, w przeciwieństwie do innych wtyczek do przeglądarek, działa niemal w każdym systemie operacyjnym, jaki można sobie wyobrazić. "Sprowadza się do ekonomiki szkodliwego oprogramowania" - mówi Santorelli. Twórcy szkodliwego oprogramowania chcą największego możliwego zwrotu z inwestycji w rozwój, co oznacza, że ​​złośliwe oprogramowanie atakuje najszerszy możliwy rynek.

Java zapewnia tę inwestycję, ale robi to w sposób, który (prawdopodobnie) powoduje, że dyrektor generalny Oracle Larry Ellison się boi. Firma Oracle odziedziczyła oprogramowanie Java po nabyciu Sun Microsystems w 2009 r., Ale firma nie chciała komentować tego raportu.

Naprawianie, podłączanie i łatanie Java

Chociaż Oracle (i Sun przed nim) dostarcza regularne aktualizacje w celu rozwiązania problemów związanych z bezpieczeństwem Java, pobieranie aktualizacji na komputerach i urządzeniach wszystkich tych milionów użytkowników pozostaje wyzwaniem.

Firma ochroniarska Secunia, która śledzi oprogramowanie zainstalowane na komputerach użytkowników końcowych, co kwartał informuje o lukach w Javie i o tym, jak szybko są one naprawiane. W czwartym kwartale Facts Sheet for Java informuje, że w 2011 r. Firma Oracle wydała pięć biuletynów informacyjnych ostrzegających o 58 lukach związanych z Javą. Poprawki lub aktualizacje były dostępne w dniu opublikowania biuletynu tylko w trzech z pięciu przypadków. W 2011 r. 78% ataków szkodliwego oprogramowania zostało skierowanych na podatne aplikacje innych firm, w tym Java oraz Adobe Flash i Acrobat.

Pozostawienie starych, wrażliwych wersji oprogramowania podłączonego do Internetu zainstalowanego na komputerze jest receptą na katastrofę.

"W wielu przypadkach wbudowana w Javę możliwość uaktualniania nie powiedzie się całkowicie, pozostawiając zwykłych użytkowników na luzie" - mówi Darien Kindlund, starszy pracownik naukowy w firmie zwalczającej szkodliwe oprogramowanie FireEye.

"Odkąd popularna jest 64-bitowa wersja systemu Windows 7, Java (i inne dodatki, takie jak Flash) cierpią z powodu frakcjonowania 32-bit / 64-bit "- wyjaśnia Kindlund. "Tylko dlatego, że instalujesz poprawioną, 64-bitową wersję Java, nie oznacza to, że jesteś w pełni chroniony, jeśli w systemie nadal jest zainstalowana wrażliwa, 32-bitowa wersja Java (lub odwrotnie)."

Karier AlienVault zauważa, że ​​Java nie jest już częścią większości systemów operacyjnych. "Java nie powinna być fabrycznie instalowana z typowymi systemami operacyjnymi" - mówi Karg. "Domyślnie nie jest dostarczana z Linuksem, a najnowsza wersja Windows też jej nie pakuje."

Do tej pory, kilka tygodni po epidemia szkodliwego oprogramowania Flashback uderzyła w OSX, jest dobrze zrozumiałe, że Apple wydaje własne aktualizacje w Javie, co czasami oznacza, że ​​użytkownicy Mac nie mają dostępu do najnowszej wersji przez tygodnie lub miesiące po swoich odpowiednikach Windows.

Java Jitters

To wszystko pozostawia otwartą kwestię, czy użytkownicy końcowi - czyli Ty - powinni nawet opuścić Javę na swoim komputerze i prawdopodobnie odinstalować ją całkowicie zamiast aktualizować.

"Jeśli korzystasz z domowego komputera na Facebooku i YouTube, to". Ciągle interesują się złymi zachciankami, ale nie przypomina to poziomu zainteresowania, jeśli zarządzasz płacami lub finansami dla firmy ", mówi Santorelli.

Jednak Java obsługuje strukturę bazową systemu operacyjnego Android i jest używana przez firmy jak Citrix, aby uruchomić GoToMeeting, GoToWebinar i GoT Usługi oMyPC po załadowaniu przez przeglądarkę.

Niektórzy eksperci zalecają wirtualizację jako obejście dla firm, które muszą korzystać z tych usług opartych na języku Java. Zainstalowanie go w maszynie wirtualnej utrzymuje ją na wyciągnięcie ręki z krytycznych systemów. Użytkownik domowy, zwłaszcza ten, który koncentruje się na Facebooku i Internecie, może być w stanie całkowicie zrezygnować z Javy.

Fani HTML 5 wskazują na tę alternatywę dla dostarczania funkcji multimedialnych, które Java włączyła wcześniej w rozwoju sieci. Skupia się zarówno na rozwoju Adobe, jak i AT & T, i wydaje się, że w tym roku nabiera tempa, mimo że jest skierowany raczej na Flasha niż na Javę.

Kwestia, czy zachować Javę, sprowadza się do "profilu ryzyka i jak ten system jest ", mówi Santymlli z Team Cymru. "Jeśli konsekwencje kompromisu będą katastrofalne," odinstaluj Javę.

Andrew Brandt jest niezależnym pisarzem i ekspertem ds. Bezpieczeństwa.