Bør jeg virkelig fjerne Java fra alle mine Windows 7-maskiner, der kører MSE og Chrome?
Richard (via Twitter)
Jeg synes, at alle bør afinstallere Java fra alle deres pc’er og Mac-computere og derefter nøje overveje, om de har brug for at tilføje det igen. Hvis man er en typisk hjemmebruger, kan man sikkert godt undvære det. Hvis du er en erhvervsbruger, har du måske ikke noget valg. Mange virksomheder har brugt Java-sproget til at udvikle forretningsprogrammer, der kører på servere, og dette “server-side”-Java er sikkert. Det er Java på “klientsiden”, der kører via plug-ins til webbrowsere, der ikke er sikkert.
Bemærk, at Java ikke har noget at gøre med JavaScript, som er et andet sprog, der bruges til at udvikle websteder og apps. JavaScript blev oprindeligt udviklet af et andet firma (Netscape) under et andet navn (LiveScript). Navnet blev ændret af markedsføringsmæssige årsager, hvilket bragte begge de involverede virksomheder i unåde, og ingen af dem overlevede.
Java har været i nyhederne i år på grund af nogle “zero day”-sårbarheder, der er blevet udnyttet af malwareforfattere. (Zero day betyder, at der ikke er nogen patch til hullet, så brugerne kan ikke beskytte sig ved at opdatere deres software). Dette skete også i august sidste år, og The Register offentliggjorde en historie med titlen: “Disable Java NOW, users told, as 0-day exploit hits web”
Faktisk set blev Java det vigtigste middel til malware-angreb i tredje kvartal af 2010, hvor de blev 14-doblet, ifølge Microsofts Security Intelligence Report Volume 10 (PDF). Det blev værre, og Kaspersky, et førende antivirusfirma, kaldte 2012 for året for Java-sårbarheder. Det sagde: “Java-sikkerhedshuller var ansvarlige for 50 % af alle angreb. Windows-komponenter og Internet Explorer blev kun udnyttet i 3 % af tilfældene.” Ja, så slemt er det.
Jeg betragter derfor Java som en unødvendig sikkerhedsrisiko, og jeg fjernede det fra vores hjemme-pc’er for flere år siden. Der var nogle få ting, jeg ikke længere kunne køre, f.eks. KeepVid til downloading af YouTube-videoer og nogle ASDL-hastighedstests, så jeg måtte finde alternativer. Jeg foreslår, at du gør det samme. At leve uden Java er en langt mindre udfordring end at leve uden Adobe Flash.
Alle programmer har fejl og kan have sikkerhedshuller, så hvorfor den drakoniske tilgang? Beklager, men jeg har ikke nok tillid til Oracles evne til at rette det. Oracle har ikke skrevet Java, men har blot arvet det, da selskabet købte det fallerede Sun Microsystems, og ifølge The Register: “Metasploit-stifter HD Moore advarede om, at Oracle stadig sidder på en bagatel af Java-fejl, som det vil tage op til to år at lappe, selv uden at der opdages nye fejl.”
Oracle er god til at sælge dyre produkter til store virksomheder, men Java indebærer, at man har at gøre med op til en milliard ikke-betalende forbrugere. Efter min mening giver Oracles forsinkede svar på den seneste “veritable mediebrandstorm” ikke de rigtige lyde om beskyttelse af forbrugerne. Oracle synes mere optaget af at forsvare sine profitgivende server-side- og indlejrede Java-forretninger.
Så start med at deaktivere Java i alle dine browsere. I Internet Explorer 8 skal du f.eks. vælge Værktøjer og derefter Administrer tilføjelsesprogrammer, og i Google Chrome skal du skrive chrome://plugins i adresselinjen. Sophos’ Naked Security-blog har instruktioner til de fleste populære browsere.
Jeg anbefaler også, at du afinstallerer alle andre versioner af Java, som du kan finde via Windows’ kontrolpanel. Du kan finde tre eller fire: Min erfaring er, at gamle versioner af Java ikke altid bliver fjernet. Herefter skal du køre det gratis program CCleaner for at rydde eventuelle tilbageværende bits. (Hvis du ikke har CCleaner, skal du downloade det fra piriform.com, ikke fra et svindelwebsted eller en Google-annonce.)
Næst skal du gå til webstedet java.com og klikke på linket, hvor der står “Do I have Java?”. Svaret bør være nej.
Re-installation af Java
Hvis du ved, at du skal have Java installeret, kan du nu foretage en ren installation af den nyeste version, enten Java 6 til opdatering 39 eller Java 7 opdatering 13. Java 6 er på vej ud og vil ikke blive opdateret igen. Nogle virksomheder har holdt fast ved den, muligvis på grund af Java 7’s dårlige sikkerhedsrygter, men den har de fleste af de samme sårbarheder. Mac-brugere skal opdatere til Java 7 Update 13 til Mac OS X.
Hvis du ikke er sikker på, at du har brug for Java, så prøv at køre din pc i et par uger for at se, om du kan klare dig uden. Du vil få en meddelelse fra ethvert websted, der har brug for et Java-browser-plugin. Du skal dog installere det fra java.com, fordi noget malware foregiver at være Java-opdatering 11.
Installer kun Java i en enkelt webbrowser, og brug kun denne browser til Java-websteder. Hvis du f.eks. normalt surfer på nettet med IE eller Chrome, skal du installere Java-plug-in’et i Firefox eller Opera eller omvendt. Java bliver angrebet, og ved at begrænse det til én browser minimeres “angrebsfladen”.
Det skal også gøres med omhu, når du installerer eller opdaterer Java. Oracle kan forsøge at installere anden software, som du bestemt ikke ønsker, f.eks. Ask-værktøjslinjen. Ed Bott fra ZDNet og Ben Edelman fra Harvard Business School har analyseret problemet i A close look at how Oracle installs deceptive software with Java updates. Bliv ikke fanget.
Java på Macs
Java er et system på tværs af platforme, så de samme sårbarheder kan være til stede på andre styresystemer end Windows. Apple-brugere har også været ramt. I 2010 var der f.eks. en Mac OS X-version af Koobface-ormen. Sidste års Mac Flashback-trojaner førte til, at mere end 600.000 inficerede Mac-computere blev føjet til et botnet, herunder 274 i Apples hjemby, Cupertino.
Apple stoppede med at inkludere Java som standard i OS X 10.7 (Lion) og har netop brugt sin XProtect-software til at blokere de nuværende versioner af Java, indtil de er blevet patchet. Det har i realiteten behandlet Java som malware. Dette beskyttede kunderne, men det var ikke alle, der var tilfredse. Efter at MacWorld UK havde bragt historien (Apple bans Java from Macs, businesses that rely on Java berørt), sagde redaktør Karen Haslam på Twitter: “Desværre er vi en af de virksomheder, der er berørt… måske vil Apple ikke have, at vi går til pressen!”
InfoWorld Magazine klagede over, at Apples Java-sabotage er dårlig it-forretning. Da Apple er en virksomhed inden for forbrugerelektronik, regner jeg ikke med, at den er alt for bekymret for virksomheders IT.
Ekstra forholdsregler
Jeg synes, at alle skal have lov til at køre det styresystem og de programmer, de har lyst til. Du skal dog være opmærksom på, at det indebærer en ekstra risiko at køre Java i browseren, og derfor bør du tage ekstra forholdsregler.
(1) Kør altid den nyeste version af Java, og sørg for at installere alle patches. I øjeblikket kan det betyde, at du skal tjekke efter opdateringer hver uge eller endda hver dag. Du kan gøre dette med Secunias Personal Software Inspector. (Jeg ville ikke stole på Javas indbyggede opdateringsprogram.)
(2) Kør ekstra kontrol for malware ved hjælp af et andet antivirusprodukt end det, du allerede har installeret, især hvis det er MSE (Microsoft Security Essentials). To gode gratis standalone-checkere er Malwarebytes AntiMalware og Kaspersky Security Scan.
(3) Lav daglige sikkerhedskopier, og opret en klon af din harddisk. PC’er er billige, men data kan være uerstattelige.