Devo davvero rimuovere Java da tutte le mie macchine Windows 7 con MSE e Chrome?
Richard (via Twitter)
Penso che tutti dovrebbero disinstallare Java da tutti i loro PC e Mac, e poi pensare attentamente se hanno bisogno di aggiungerlo nuovamente. Se sei un tipico utente domestico, probabilmente puoi farne a meno. Se sei un utente aziendale, potresti non avere scelta. Molte aziende hanno usato il linguaggio Java per sviluppare applicazioni aziendali che girano sui server, e questo Java “lato server” è sicuro. È il Java “lato client” che gira tramite i plug-in del browser web che non è sicuro.
Nota che Java non ha niente a che fare con JavaScript, che è un altro linguaggio usato per sviluppare siti web e applicazioni. JavaScript è stato originariamente sviluppato da un’altra azienda (Netscape) con un altro nome (LiveScript). Il nome è stato cambiato per ragioni di marketing che hanno disonorato entrambe le società coinvolte, nessuna delle quali è sopravvissuta.
Java è stato nelle notizie quest’anno a causa di alcune vulnerabilità “zero day” sfruttate da autori di malware. (Zero day significa che non c’è una patch per il buco, quindi gli utenti non possono proteggersi aggiornando il loro software). Questo è successo anche lo scorso agosto, e The Register ha pubblicato una storia che diceva Disable Java NOW, agli utenti è stato detto, come 0-day exploit colpisce il web.
In effetti, Java è diventato il veicolo principale per gli attacchi malware nel terzo trimestre del 2010, quando sono aumentati di 14 volte, secondo il Security Intelligence Report Volume 10 di Microsoft (PDF). Le cose sono peggiorate, e Kaspersky, una delle principali aziende anti-virus, ha definito il 2012 l’anno delle vulnerabilità Java. Ha detto che: “Le falle di sicurezza di Java sono state responsabili del 50% degli attacchi. I componenti di Windows e Internet Explorer sono stati sfruttati solo nel 3% degli incidenti”. Sì, è così male.
Perciò considero Java come un rischio di sicurezza inutile, e l’ho rimosso dai nostri PC di casa anni fa. C’erano alcune cose che non potevo più eseguire, come KeepVid per scaricare i video di YouTube e alcuni test di velocità ASDL, quindi ho dovuto trovare alternative. Vi suggerisco di fare lo stesso. Vivere senza Java è molto meno impegnativo che vivere senza Adobe Flash.
Tutti i programmi hanno bug e possono avere falle nella sicurezza, quindi perché questo approccio draconiano? Mi dispiace dire che non ho abbastanza fiducia nella capacità di Oracle di risolvere il problema. Oracle non ha scritto Java, l’ha solo ereditato quando ha comprato la fallimentare Sun Microsystems, e secondo The Register: “Il fondatore di Metasploit HD Moore ha avvertito che Oracle è ancora seduta su un arretrato di difetti di Java che richiederanno fino a due anni per essere corretti, anche senza la scoperta di nuovi difetti.”
Oracle è brava a vendere prodotti ad alto prezzo alle grandi imprese, ma Java implica trattare con un miliardo di consumatori non paganti. A mio parere, la risposta tardiva di Oracle alla recente “vera e propria tempesta mediatica” non fa i giusti rumori sulla protezione dei consumatori. Sembra più preoccupata di difendere i suoi profitti lato server e le attività Java incorporate.
Quindi, iniziate a disabilitare Java in tutti i vostri browser. In Internet Explorer 8, per esempio, selezionate Strumenti e poi Gestisci componenti aggiuntivi, e in Google Chrome, digitate chrome://plugins nella barra degli indirizzi. Il blog Naked Security di Sophos ha le istruzioni per i browser più popolari.
Consiglio anche di disinstallare qualsiasi altra versione di Java che potete trovare tramite il pannello di controllo di Windows. Potreste trovarne tre o quattro: nella mia esperienza, le vecchie versioni di Java non vengono sempre rimosse. Dopodiché, esegui il programma gratuito CCleaner per eliminare qualsiasi bit rimasto. (Se non hai CCleaner, scaricalo da piriform.com, non da qualche sito truffa o da un annuncio di Google.)
Poi vai al sito java.com e clicca sul link che dice “Ho Java? La risposta dovrebbe essere no.
Re-installazione di Java
Se sai che devi avere Java installato, ora puoi fare un’installazione pulita dell’ultima versione, o Java 6 all’Update 39, o Java 7 Update 13. Java 6 è in uscita e non sarà più aggiornato. Alcune aziende sono rimaste con esso, forse a causa della terribile reputazione di sicurezza di Java 7, ma ha la maggior parte delle stesse vulnerabilità. Gli utenti Mac devono aggiornare a Java 7 Update 13 per Mac OS X.
Se non sei sicuro di aver bisogno di Java, prova a far funzionare il tuo PC per qualche settimana per vedere se puoi farne a meno. Riceverai una notifica da qualsiasi sito web che ha bisogno di un plug-in per il browser Java. Tuttavia, devi installarlo da java.com, perché alcuni malware fingono di essere Java update 11.
Installa Java solo in un singolo browser web, e usa questo browser solo per i siti Java. Per esempio, se normalmente navighi sul web con IE o Chrome, installa il plug-in Java in Firefox o Opera, o viceversa. Java viene attaccato, e limitarlo ad un solo browser minimizza la “superficie di attacco”.
Inoltre, ogni volta che installate o aggiornate Java, fatelo con attenzione. Oracle potrebbe cercare di installare altri software che sicuramente non volete, come la barra degli strumenti Ask. Ed Bott di ZDNet e Ben Edelman della Harvard Business School hanno analizzato il problema in A close look at how Oracle installs deceptive software with Java updates. Non farti beccare.
Java sui Mac
Java è un sistema multipiattaforma, quindi le stesse vulnerabilità possono essere presenti su altri sistemi operativi oltre a Windows. Anche gli utenti Apple hanno sofferto. Nel 2010, per esempio, c’era una versione Mac OS X del worm Koobface. L’anno scorso il Mac Flashback Trojan ha portato a più di 600.000 Mac infetti che sono stati aggiunti a una botnet, tra cui 274 nella città natale di Apple, Cupertino.
Apple ha smesso di includere Java di default in OS X 10.7 (Lion), e ha appena usato il suo software XProtect per bloccare le versioni correnti di Java finché non sono state patchate. In effetti, ha trattato Java come un malware. Questo ha protetto i clienti, ma non tutti sono stati contenti. Dopo che MacWorld UK ha riportato la storia (Apple bandisce Java dai Mac, le aziende che si affidano a Java sono in difficoltà), l’editore Karen Haslam ha scherzato su Twitter: “Sfortunatamente siamo una delle aziende colpite… forse Apple non vuole che andiamo in stampa!”
La rivista InfoWorld si è lamentata che il sabotaggio di Java da parte di Apple è un cattivo affare informatico. Dato che Apple è un’azienda di elettronica di consumo, non mi aspetto che si preoccupi troppo dell’IT aziendale.
Precauzioni extra
Penso che ognuno dovrebbe essere libero di eseguire qualsiasi sistema operativo e applicazioni che gli piaccia. Tuttavia, dovreste essere consapevoli che l’esecuzione di Java nel browser comporta un rischio extra, e quindi dovreste prendere precauzioni extra.
(1) Eseguite sempre l’ultima versione di Java e assicuratevi di installare tutte le patch. Al momento, questo può significare controllare gli aggiornamenti ogni settimana, o anche ogni giorno. Potete farlo con Personal Software Inspector di Secunia. (Non mi fiderei del programma di aggiornamento integrato di Java.)
(2) Esegui controlli extra per il malware usando un prodotto antivirus diverso da quello che hai già installato, specialmente se è MSE (Microsoft Security Essentials). Due buoni antivirus standalone gratuiti sono Malwarebytes AntiMalware e Kaspersky Security Scan.
(3) Fai dei backup quotidiani e tieni un clone del tuo disco rigido. I PC costano poco, ma i dati possono essere insostituibili.
(3)