A Java indításának ideje?

Itt az ideje, hogy Java-t a boot? A szakértők azt mondják, hogy igen.

A Java, az internetes szórakoztató és interaktív programot létrehozó programnyelv az egyik leggyengébb láncszem a PC és a Mac külső védelmi fenyegetésekkel szemben. Tekintse meg a legfrissebb Java-sebezhetőséget, amelyet a malware forgalmazók jelenleg kihasználnak: Amikor az Oracle, a Java készítője kiadott egy sürgősségi frissítést a szoftver javítására, a biztonsági elemzők beszámoltak arról, hogy még a forrónyomás-kód is további sebezhetőségeket tartalmaz.

De a legutóbbi biztonsági problémák a Java-val messze nem egyedülállóak. A Sophos biztonsági cég például a múlt év áprilisában a Flashback malware támadások támadása miatt hibáztatta a Java sérülékenységét, amely öt Mac számítógép közül egyet fertőzött meg.

[További olvasnivalók: A rosszindulatú programok eltávolítása Windows számítógépről]

t meghaladják a jutalmakat, mondják a biztonsági szakértők. "Azt mondanám, hogy a felhasználók 90 százaléka már nem igényli a Java-t" - mondja Dominique Karg, az AlienVault biztonsági szoftvergyártó alapítója és vezető hacking tisztje. "Úgy gondolom magam, hogy egy" energiafelhasználó "vagyok, és az utolsó és egyetlen alkalom, amikor rájöttem, hogy Java-ra telepítettem a Mac-jemen, amikor frissíteni kellett."

Ha saját számítógéped van, tudod, hogy a bizonytalan felkérték, hogy frissítse a Windows PC-jét tizenegyedik alkalommal. Ez csak mérsékelten zavaró lehet, de havi emlékeztető, hogy a számítógép és az abban tárolt személyes adatok továbbra is a bűnözők célpontja.

Az elmúlt években mind az Apple, mind a Microsoft megkeményítette rendszerük védelmeit. A Mac operációs rendszere közel került a sebezhetőségekhez, és a vállalat már nem szállít új eszközöket a Java előtelepítésével. A Microsoft teljes körű bírósági sajtót kért, hogy megszüntesse az operációs rendszer sebezhetőségeit a Conficker féreg kitörése óta 2008 végén, és azóta sem hasonlítható össze a férgek a Windows rendszerekkel szemben.

Mozilla és Opera, valamint a Microsoft, az Internet készítője Explorer, az elmúlt évtized teljesebb részét töltötte be a böngészőkkel szemben a támadásokkal szemben támadt támadásokkal. A Mozilla például felsorolja a 2237 hibát - nem minden biztonsági hibát -, amelyet a Firefox böngésző változatának 15. verziójában rögzítettek, ami augusztus 28-án jelent meg.

De még akkor is, ha az operációs rendszer és a böngésző biztonságát a Fort Knox , a rosszfiúk mindig úgy tűnik, hogy új rést találnak a páncélban.

Java: Gyenge kapcsolat a biztonsági láncban

Most, hogy nehezebb behatolni a böngészőket és az operációs rendszert, az adatlopók megváltoztatták a taktikát, célzva a két leggyengébb linket: harmadik féltől származó böngésző-bővítmények vagy kiegészítők , és maguk a felhasználók. Harmadik féltől származó plug-inek esetében a Java továbbra is visszaéléssé vált az automatizált "drive-by" támadások eszközeként, amelyeket gyakran a fekete piacon értékesített alacsony költségű kizsákmányoló készletek teszik lehetővé. A Forbes márciusban árlistát tett közzé, amely bemutatja, hogy milyen kegyetlen vevők fizetnek majd az új, úgynevezett nulla napos sebezhetőséghez való kizárólagos hozzáférésért. A 40 000 és 100 000 dollár közötti jutalom több mint elegendő motiváció a kódozók kizsákmányolásához, hogy korán kezdjenek és későn dolgozhassanak.

A vonzerő egy része a Java mindennapja. "Ez szinte egy dicséret a Java fejlesztőinek" - mondja Steve Santorelli, a Cymru csapat, a floridai biztonsági kutatással foglalkozó nonprofit szervezet globális információs igazgatója. A Java, ellentétben más böngésző-plug-inekkel, szinte minden elképzelhető operációs rendszerben fut. "A rosszindulatú szoftverek közgazdaságtanához tartozik" - mondja Santorelli. A malware szerzői a lehető legnagyobb megtérülést szeretnék elérni a fejlesztésbe való befektetésükön, ami a lehető legszélesebb piaccal foglalkozó rosszindulatú programot jelent.

A Java biztosítja a befektetést, bár így tesz olyan módon, hogy (valószínűleg) az Oracle vezérigazgatója, Larry Ellison válogat. Az Oracle örökölte a Java-t, amikor 2009-ben megvásárolta a Sun Microsystems-et, de a vállalat nem hajlandó észrevételt tenni ehhez a jelentéshez.

Javítás, csatlakoztatás és javítás Java

Az Oracle (és a Sun előtt) rendszeres frissítésekkel javítja a Java biztonsági kérdéseket, és ezeknek a frissítéseknek a végleges felhasználóinak millióit számítógépekre és eszközökre való telepítése továbbra is kihívást jelent. > A Secunia biztonsági cég, amely a végfelhasználói számítógépeken telepített szoftvert nyomon követi, negyedévente beszámol a Java-sebezhetőségekről és a gyors javításról. A vállalat negyedik negyedéves biztonsági adatlapja szerint a 2011-es évben az Oracle öt tanácsadói közleményt adott ki, figyelmeztetve a Java-t érintő 58 sebezhetőségre. A javítások vagy frissítések a hírlevél közzétételének napján csak az öt esetben csak háromban jelentek meg. 2011-ben a rosszindulatú támadások 78 százaléka megcélzott sérülékeny harmadik féltől származó alkalmazásokat, köztük a Java, valamint az Adobe Flash és Acrobat programot.

A számítógépen telepített bármely internethez kapcsolódó szoftver régi, sérülékeny verzióinak elhagyása katasztrófa-elhárítás.

"Sok esetben a Java beépített frissítési lehetőségei teljes egészében nem sikerülnek, így a normál felhasználók elszaladnak" - mondja Darien Kindlund, a FireEye nevű anti-malware cég vezető munkatársa.

"A 64 bites Windows A 7, Java (és más kiegészítők, például a Flash) 32 bites / 64 bites "fractionalization" -ként szenvednek "- magyarázza Kindlund. "Csak azért, mert egy javított, 64 bites Java-verziót telepít, nem jelenti azt, hogy teljesen védett, ha egy sebezhető 32 bites Java-verzió még mindig telepítve van a rendszeren (vagy fordítva)."

AlienVault Karg megjegyzi, hogy a Java valóban már nem része a legtöbb operációs rendszernek. "A Java nem érkezhet előre telepített közös operációs rendszerekkel" - mondja Karg. "Nem a Linux alapértelmezésben nem jön, és a legfrissebb Windows verzió sem köti össze."

Mostanra néhány hét múlva a Flashback rosszindulatú programok kitörése az OSX-hez képest jól ismert, hogy az Apple kiadja a saját Java frissítéseit, és ez néha azt jelenti, hogy a Mac felhasználók nem férnek hozzá a legújabb verzióhoz hetekig vagy hónapokig a Windows használóik után.

Java Jitters

Mindez nyitva hagyja azt a kérdést, hogy a végfelhasználók - vagyis az Ön számára - a Java-t hagyják-e a számítógépen, és esetleg teljesen eltávolítják a frissítést.

"Ha otthoni számítógépeit használja a Facebookon és a YouTube-on, még mindig érdekli a rosszindulatú, de semmi érdeklődés sem, ha kezeli a bérszámfejtést vagy pénzügyeket egy vállalkozás számára "- mondja Santorelli.

A Java azonban az Android operációs rendszer alapját képezi, mint a Citrix, hogy elindítsa GoToMeeting, GoToWebinar és GoT oMyPC szolgáltatások böngészőn keresztül betöltve.

Egyes szakértők a virtualizációt mint megoldást javasolják azoknak a vállalkozásoknak, amelyeknek ezeket a Java-alapú szolgáltatásokat kell használniuk. A virtuális gépbe való telepítése karban tartja a kritikus rendszerektől. Az otthoni felhasználók, különösen a Facebookra és a weben összpontosultak, eltekinthetnek a Java-tól.

A HTML 5 rajongói ezt a lehetőséget javasolják a Java által már korábban engedélyezett multimédiás funkciók megvalósításában. Ez mind az Adobe fejlesztés, mind az AT & T munkájának középpontjában áll, és úgy tűnik, hogy lendületet kap az idén, bár a Flash-et inkább a Java-hoz képest célozza.

A kérdés, hogy a Java megmaradjon "a kockázati profiljához, ez a rendszer "- mondja a Cymru csapatának Santorelli. "Ha a kompromisszum következményei katasztrofálisak lennének," távolítsa el a Java-t. "

Andrew Brandt szabadúszó író és biztonsági szakértő.