Pitäisikö minun todella poistaa Java kaikista Windows 7 -koneistani, joissa käytetään MSE:tä ja Chromea?
Richard (Twitterin välityksellä)
Olen sitä mieltä, että kaikkien pitäisi poistaa Java kaikista PC- ja Mac-tietokoneistaan ja miettiä sen jälkeen tarkkaan, pitäisikö se lisätä takaisin. Jos olet tyypillinen kotikäyttäjä, pärjäät luultavasti ilman sitä. Jos olet yrityskäyttäjä, sinulla ei välttämättä ole vaihtoehtoja. Monet yritykset ovat käyttäneet Java-kieltä kehittäessään palvelimilla toimivia yrityssovelluksia, ja tämä ”palvelinpuolen” Java on turvallinen. ”Asiakaspuolen” Java, jota käytetään verkkoselaimen lisäosien kautta, ei ole turvallinen.
Huomaa, että Javalla ei ole mitään tekemistä JavaScriptin kanssa, joka on toinen kieli, jota käytetään verkkosivustojen ja sovellusten kehittämiseen. JavaScriptin kehitti alun perin eri yritys (Netscape) eri nimellä (LiveScript). Nimeä muutettiin markkinointisyistä, jotka aiheuttivat häpeää molemmille mukana olleille yrityksille, joista kumpikaan ei selvinnyt hengissä.
Java on ollut tänä vuonna uutisissa joidenkin haittaohjelmien kirjoittajien hyödyntämien ”nollapäivän” haavoittuvuuksien vuoksi. (Nollapäivähaavoittuvuus tarkoittaa, että aukkoa ei ole korjattu, joten käyttäjät eivät voi suojautua päivittämällä ohjelmistojaan.) Näin tapahtui myös viime elokuussa, ja The Register julkaisi jutun, jossa luki Disable Java NOW, users told, as 0-day exploit hits web.
Javasta tuli itse asiassa haittaohjelmahyökkäysten pääasiallinen väline vuoden 2010 kolmannella vuosineljänneksellä, jolloin hyökkäykset lisääntyivät 14-kertaisiksi Microsoftin Security Intelligence Report Volume 10 -raportin (PDF) mukaan. Tilanne paheni, ja johtava virustorjuntayhtiö Kaspersky tituleerasi vuotta 2012 Java-haavoittuvuuksien vuodeksi. Sen mukaan: ”Javan tietoturva-aukot aiheuttivat 50 prosenttia hyökkäyksistä. Windows-komponentteja ja Internet Exploreria hyödynnettiin vain 3 prosentissa tapauksista.” Kyllä, se on niin paha.
Pidän siksi Javaa tarpeettomana turvallisuusriskinä, ja poistin sen kotitietokoneistamme jo vuosia sitten. Oli muutamia asioita, joita en voinut enää ajaa, kuten KeepVid YouTube-videoiden lataamiseen ja joitakin ASDL-nopeustestejä, joten minun oli löydettävä vaihtoehtoja. Suosittelen, että teet samoin. Eläminen ilman Javaa on paljon pienempi haaste kuin eläminen ilman Adobe Flashia.
Kaikissa ohjelmissa on bugeja ja niissä voi olla tietoturva-aukkoja, joten miksi tällainen drakoninen lähestymistapa? Valitettavasti minulla ei ole tarpeeksi luottamusta Oraclen kykyyn korjata se. Oracle ei kirjoittanut Javaa, se vain peri sen ostaessaan epäonnistuneen Sun Microsystemsin, ja The Registerin mukaan: ”Metasploitin perustaja HD Moore varoitti, että Oraclella on yhä kasa Java-virheitä, joiden korjaaminen vie jopa kaksi vuotta, vaikka uusia virheitä ei löytyisikään.”
Oracle on hyvä myymään kalliita tuotteita suuryrityksille, mutta Java-ohjelmassa on kyse jopa miljardista maksamattomasta kuluttajasta. Mielestäni Oraclen myöhästynyt vastaus viimeaikaiseen ”todelliseen mediamyrskyyn” ei anna oikeita ääniä kuluttajien suojelemisesta. Se näyttää olevan enemmän huolissaan voittoa tuottavien palvelinpuolen ja sulautetun Javan liiketoimintojensa puolustamisesta.
Aloita siis poistamalla Java käytöstä kaikissa selaimissasi. Valitse esimerkiksi Internet Explorer 8:ssa Työkalut ja sitten Hallitse lisäosia, ja kirjoita Google Chromessa osoiteriville chrome://plugins. Sophosin Naked Security -blogissa on ohjeita useimpiin suosittuihin selaimiin.
Suosittelen myös poistamaan kaikki muut Javan versiot, jotka löydät Windowsin ohjauspaneelin kautta. Saatat löytää kolme tai neljä: kokemukseni mukaan vanhoja Java-versioita ei aina poisteta. Tämän jälkeen suorita ilmainen CCleaner-ohjelma tyhjentämään kaikki jäljelle jääneet bitit. (Jos sinulla ei ole CCleaneria, lataa se osoitteesta piriform.com, ei joltain huijaussivustolta tai Googlen mainoksesta.)
Seuraavaksi mene java.com-verkkosivustolle ja napsauta linkkiä, jossa lukee ”Do I have Java?”. Vastauksen pitäisi olla ei.
Javan uudelleenasentaminen
Jos tiedät, että sinulla on oltava Java asennettuna, voit nyt tehdä puhtaan asennuksen uusimmasta versiosta, joko Java 6:sta Update 39:ään tai Java 7 Update 13:sta. Java 6 on poistumassa, eikä sitä enää päivitetä. Jotkin yritykset ovat pitäneet siitä kiinni, mahdollisesti Java 7:n surkean tietoturvamaineen vuoksi, mutta siinä on suurin osa samoista haavoittuvuuksista. Mac-käyttäjien on päivitettävä Mac OS X:n Java 7 Update 13:een.
Jos et ole varma, tarvitsetko Javaa, kokeile käyttää tietokonettasi muutaman viikon ajan ja katso, pärjäätkö ilman sitä. Saat ilmoituksen kaikista verkkosivustoista, jotka tarvitsevat Java-selainlisäosan. Sinun on kuitenkin asennettava se osoitteesta java.com, koska jotkut haittaohjelmat teeskentelevät olevansa Java-päivitys 11.
Asenna Java vain yhteen selaimeen ja käytä tätä selainta vain Java-sivustoihin. Jos esimerkiksi normaalisti selaat verkkoa IE:llä tai Chromella, asenna Java-lisäosa Firefoxiin tai Operaan tai päinvastoin. Javaa vastaan hyökätään, ja sen rajoittaminen yhteen selaimeen minimoi ”hyökkäyspinnan”.
Lisäksi aina kun asennat tai päivität Javan, tee se huolellisesti. Oracle saattaa yrittää asentaa muita ohjelmistoja, joita et todellakaan halua, kuten Ask-työkalupalkin. ZDNetin Ed Bott ja Harvard Business Schoolin Ben Edelman ovat analysoineet ongelmaa artikkelissa A close look at how Oracle installs deceptive software with Java updates. Älä jää kiinni.
Java Mac-tietokoneissa
Java on alustarajat ylittävä järjestelmä, joten samat haavoittuvuudet voivat esiintyä myös muissa käyttöjärjestelmissä kuin Windowsissa. Myös Applen käyttäjät ovat kärsineet. Esimerkiksi vuonna 2010 Koobface-madosta oli Mac OS X -versio. Viime vuonna Mac Flashback -troijalainen johti siihen, että yli 600 000 saastunutta Mac-tietokonetta lisättiin bottiverkkoon, joista 274 oli Applen kotikaupungissa Cupertinossa.
Apple lakkasi sisällyttämästä Java-ohjelmaa oletusarvoisesti OS X 10.7 (Lion) -käyttöjärjestelmään, ja se on juuri käyttänyt XProtect-ohjelmistoaan estääkseen Javan nykyiset versiot, kunnes ne on korjattu. Käytännössä se kohteli Javaa haittaohjelmana. Tämä suojasi asiakkaita, mutta kaikki eivät olleet tyytyväisiä. Kun MacWorld UK kertoi asiasta (Apple bans Java from Macs, businesses that rely on Java bereft), toimittaja Karen Haslam vitsaili Twitterissä: ”Valitettavasti olemme yksi niistä yrityksistä, joita asia koskee… ehkä Apple ei halua, että menemme lehdistöön!”
InfoWorld-lehti valitti, että Applen Java-sabotaasi on huonoa IT-liiketoimintaa. Koska Apple on kuluttajaelektroniikkayhtiö, en oleta, että se on kovin huolissaan yritysten IT:stä.”
Ylimääräiset varotoimet
Minä olen sitä mieltä, että kaikkien pitäisi olla vapaita käyttämään mitä tahansa käyttöjärjestelmää ja sovelluksia he haluavat. Kannattaa kuitenkin olla tietoinen siitä, että Javan käyttäminen selaimessa tuo mukanaan ylimääräisiä riskejä, ja siksi on syytä noudattaa ylimääräisiä varotoimia.
(1) Käytä aina Javan uusinta versiota ja varmista, että asennat kaikki korjaukset. Tällä hetkellä tämä voi tarkoittaa päivitysten tarkistamista joka viikko tai jopa joka päivä. Voit tehdä tämän Secunian Personal Software Inspector -ohjelmalla. (En luottaisi Javan sisäänrakennettuun päivitysohjelmaan.)
(2) Suorita ylimääräisiä tarkistuksia haittaohjelmien varalta käyttämällä eri virustorjuntatuotetta kuin se, joka sinulla on jo asennettuna, varsinkin jos se on MSE (Microsoft Security Essentials). Kaksi hyvää ilmaista itsenäistä tarkistusohjelmaa ovat Malwarebytes AntiMalware ja Kaspersky Security Scan.
(3) Tee päivittäisiä varmuuskopioita ja pidä kiintolevystäsi klooni. Tietokoneet ovat halpoja, mutta tiedot voivat olla korvaamattomia.