וִידֵאוֹ: ª (נוֹבֶמבֶּר 2024)
ג'אווה מותקפת.
לא רק מהכובעים השחורים המייצרים הורדות לפי כונן, קבצים מצורפים זדוניים והתקפות אחרות המנצלות את הפגיעויות בטכנולוגיה, אלא גם מהכובעים הלבנים הטוענים כי המשתמשים בכלל לא צריכים להשתמש בה. אפילו לאחר שאורקל תיקנה את חבורת הפגיעויות האחרונה של אפס יום ב- Java, צוות המוכנות לחירום מחשבים של המחלקה לביטחון פנים (US-CERT) המליץ למשתמשים לכבות את ג'אווה.
בדומה לפלאש של אדובי, ג'אווה היא יעד פופולרי בגלל הבסיס המותקן הגדול שלה. אם אתה באמת לא משתמש באתרים הדורשים ג'אווה, קדימה זרוק אותו. יש לנו אפילו קבוצה נחמדה של הוראות כיצד להשבית את Java בדפדפן שלך.
אבל אני משתמש בג'אווה!
לאחר מכן, יש את כולנו המשתמשים בפועל על גבי Java על בסיס קבוע.
"אני בספק אם כל מי שמקדיש תשומת לב לייעוץ אבטחה, מפעיל את ג'אווה, IE 6/7/8, וכו 'בגלל שהם רוצים - אנחנו מנהלים את הדברים האלה בגלל שאנחנו צריכים, וההחלטה אינה בשליטתנו, " גורו האבטחה ג'ק דניאל כתב ב- Uncommon Sense Security.
כשהסתכלתי סביב כדי לראות אילו יישומים משתמשים ב- Java, הבנתי שהרבה מאוד יישומי שולחן עבודה פופולריים מתאימים לחשבון, כולל חלופות של Office, ThinkFree Office, LibreOffice ו- OpenOffice, כמו גם משחקים פופולריים כמו Minecraft. מספר יישומי Adobe דורשים גם מ- Java להפעלת רכיבים מסוימים. אין מה לדאוג, מכיוון שמדובר ביישומי Java עצמאיים, ולא אלה הפועלים בדפדפן האינטרנט.. אם עקבת אחר ההוראות המפורטות שלנו, השבתת את ג'אווה רק בדפדפן. יישומים מקומיים עדיין יפעלו בסדר.
אבל מסתבר שיש המון אתרי משחקים ועסקים שעדיין משתמשים בג'אווה. נראה כי שירותי בנקאות מיוחדים, דוגמת בנק פרטי, המשלב השקעות ובנקאות מסורתית לחשבון אחד, הם דוגמא אחת. שירותי ענן כמו כלים להעלאת קבצים בכמויות גדולות של Box.net עם Java. סיטריקס וסיסקו מציעים שניהם מוצרי SSL VPN ללא לקוח, המאפשרים למשתמשים להקים מנהרת VPN מאובטחת עם גישה מרחוק באמצעות דפדפן אינטרנט המאפשר Java.
האם אתה סטודנט? רוב הסיכויים שבית הספר שלך משתמש ב- Blackboard, המחייב את הגרסה האחרונה של תוסף Java כדי להעלות קבצים וקבצים מצורפים, להשתמש בתכונת הצ'אט בזמן אמת בכיתה וירטואלית ולאפשר תכונות אינטראקטיביות מסוימות בפלטפורמה.
Pogo.com ו- KidsPlayPark.com מציעים משחקי ג'אווה מקוונים. נראה כי רבים ממשתמשי פוגו, המודאגים מהאיומים האחרונים, החליפו את Java 7 ב- Java 6 (שאורקל לא תתמוך עוד אחרי פברואר), כך על פי פרסומים בפורומים של המשתמשים. רק שתדע, זה רעיון רע להפליא. ישנן הרבה התקפות שמכוונות לתוכנה מיושנת; אין צורך להסתכן במערך התקפות שונה לגמרי רק כדי להימנע מהיבול האחרון.
מהן האלטרנטיבות עבור ה- IT?
"אם יש לך יישומים קריטיים לעסקים הדורשים ג'אווה: נסה למצוא תחליף", כתב Johannes Ullrich, מכון SANS, בבלוג האינטרנט Storm Storm Center בשבוע שעבר.
נראה כי פלטפורמות ועידת האינטרנט הן המחסומים הגדולים ביותר. WebEx ו- Citrix GoToMeeting של סיסקו נהגו לדרוש ג'אווה, אך שתי הפלטפורמות שינו לאחרונה את היישומים שלהן כדי להשתמש בגרסה אחרת אם היא לא מצליחה למצוא את ג'אווה. סיטריקס אמרה שהיא נמצאת בתהליך של הפעלת ג'אווה לחלוטין. עם זאת, אחרים במרחב, כולל MeetingBurner ו- OmniJoin של האח, עדיין משתמשים ב- Java. Join.me, ClickMeeting ו- ReadyTalk מבוססים על Flash.
למרות שכבר בעבר היו כלים לגישה מרחוק מבוססי ג'אווה, יש רשימה הולכת וגדלה של אלטרנטיבות שניתן להשתמש בהן לתמיכה טכנית, אמר צ'ט וויסנייבסקי, יועץ האבטחה של סופוס, ל- SecurityWatch . לקוחות שולחן עבודה מרוחק מובנים גם ב- Mac OS X ו- Windows.
"לתמיכה באמא ואבא שלי, אני משתמש בגרסה החינמית של LogMeIn", אמר. LogMeIn Free משתמש ב- ActiveX.
מה אם אני לא יכול לעבור?
עבור עסקים רבים, "אין ברירה", אמר תומאס קריסטנסן, סמנכ"ל מנהל מערכת בסקוניה, ל- SecurityWatch . למרות שאפשר יהיה להחליף יישומים מסוימים, באופן כללי, מנהלים יצטרכו למצוא דרכים אחרות להגן על עובדיהם. אחת הדרכים לצמצם את שטח ההתקפה היא לאפשר ג'אווה רק למי שזקוק לה בפועל ולהשבית אותו עבור כולם, אמר קריסטנסן.
במקום לומר לעובדים להפסיק להשתמש בג'אווה, ארגונים צריכים להתמקד ב"עטפת בועות "כדי להגן על המשתמשים, אמר אנופ גוש, אנק גוש, ל- SecurityWatch . משתמשים יכולים לגלוש באינטרנט באמצעות דפדפן וירטואליסטי, ואם הם נתקלים באתרים זדוניים כלשהם, לפתוח בטעות קובץ ממולכד או לנסות להוריד תוכנות זדוניות, הסביבה הווירטואלית תחסום את הפיגוע במכונה עצמה. בשנייה שהדפדפן הווירטואלי סגור, ההתקפה מוסרת. והכי חשוב, דפדפן וירטואלי יגן עליך מפני מגוון רחב יותר של איומים, ולא רק על בסיס ג'אווה.
משתמשים יכולים לאמץ מערכת דו-דפדפנית. אם אתה גולש בדרך כלל באינטרנט עם Firefox, למשל, שקול להשבית את התוסף Java בפיירפוקס. לאחר מכן, אפשר ג'אווה בדפדפן חלופי כמו כרום, IE9, ספארי וכו ', ודפדף רק באתרים הזקוקים לג'אווה ולעולם לא לגלישה כללית באינטרנט.
"עדיף לאפשר ג'אווה בדפדפן אחד ולהשתמש בדפדפן זה רק באתרים שלא יתפקדו בלעדיו", אמר ויסנייבסקי.
התוקפים אוהבים לשנות יעדים - פלאש, Internet Explorer, Adobe Reader. "לכל אחד יש יום אפס בזמן זה או אחר", כתב Rob VandenBrink של מטאפור במרכז הסערה באינטרנט.
השבתת ג'אווה היא רק דרך אחת להתגונן מפני איומי רשת, אך אינה פיתרון אוניברסאלי. ארגונים יכולים להגביל את חשיפתם ולאמץ נוהלי אבטחה, כגון סינון אינטרנט והפעלת משתמשים עם הרשאות מוגבלות, כדי לחסום התקפות, אמר.
"תפסיק להצביע על האצבע ולקבל המלצות שמיכה שלא ניתן לעקוב אחריהם", כתב VandenBrink.
למידע נוסף מפחמידה עקוב אחריה בטוויטר @zdFYRashid.