Měl bych opravdu odstranit Javu ze všech svých počítačů s Windows 7, na kterých běží MSE a Chrome?
Richard (přes Twitter)
Myslím, že by každý měl Javu odinstalovat ze všech svých počítačů PC a Mac a pak si dobře rozmyslet, zda ji potřebuje přidat zpět. Pokud jste typický domácí uživatel, pravděpodobně se bez ní obejdete. Pokud jste firemní uživatel, možná nemáte na výběr. Mnoho společností používá jazyk Java k vývoji podnikových aplikací, které běží na serverech, a tato „serverová“ Java je bezpečná. To Java „na straně klienta“, která běží prostřednictvím zásuvných modulů webového prohlížeče, bezpečná není.
Všimněte si, že Java nemá nic společného s JavaScriptem, což je další jazyk používaný k vývoji webových stránek a aplikací. JavaScript byl původně vyvinut jinou společností (Netscape) pod jiným názvem (LiveScript). Název byl změněn z marketingových důvodů, které zneuctily obě zúčastněné společnosti, z nichž ani jedna nepřežila.
Java se letos dostala do zpráv kvůli některým zranitelnostem „nultého dne“, které zneužívají tvůrci malwaru. (Nultý den znamená, že na díru neexistuje záplata, takže se uživatelé nemohou chránit aktualizací softwaru). To se stalo i loni v srpnu a The Register zveřejnil článek Disable Java NOW, users told, as 0-day exploit hits web.
Ve skutečnosti se Java stala hlavním prostředkem pro útoky malwaru ve třetím čtvrtletí roku 2010, kdy se jejich počet zvýšil čtrnáctkrát, jak vyplývá ze zprávy Microsoft Security Intelligence Report Volume 10 (PDF). Situace se ještě zhoršila a přední antivirová společnost Kaspersky nazvala rok 2012 Rokem zranitelností Javy. Uvedla, že: „Bezpečnostní díry v Javě byly zodpovědné za 50 % útoků. Součásti systému Windows a Internet Explorer byly zneužity pouze ve 3 % incidentů“. Ano, je to tak zlé.
Javu proto považuji za zbytečné bezpečnostní riziko a z našich domácích počítačů jsem ji odstranil už před lety. Bylo několik věcí, které jsem již nemohl spustit, například KeepVid pro stahování videí z YouTube a některé testy rychlosti ASDL, takže jsem musel najít alternativy. Doporučuji vám, abyste udělali totéž. Život bez Javy je mnohem menší problém než život bez Adobe Flash.
Všechny programy mají chyby a mohou mít bezpečnostní díry, tak proč ten drakonický přístup? Je mi líto, ale nemám dostatečnou důvěru ve schopnost Oraclu to opravit. Oracle Javu nenapsal, jen ji zdědil, když koupil krachující Sun Microsystems, a podle The Register: „Zakladatel Metasploitu HD Moore varoval, že Oracle stále sedí na hromadě chyb v Javě, jejichž oprava bude trvat až dva roky, a to i bez objevení nových chyb.“
Oracle umí dobře prodávat drahé produkty velkým podnikům, ale Java zahrnuje jednání až s miliardou neplatících spotřebitelů. Podle mého názoru opožděná reakce společnosti Oracle na nedávnou „skutečnou mediální bouři“ nevyvolává správné zvuky o ochraně spotřebitelů. Zdá se, že ji spíše zajímá obrana jejího ziskového podnikání na straně serverů a vestavěných aplikací Javy.
Začněte tedy tím, že vypnete Javu ve všech svých prohlížečích. Například v Internet Exploreru 8 vyberte Nástroje a poté Spravovat doplňky a v prohlížeči Google Chrome zadejte do adresního řádku chrome://plugins. Na blogu Naked Security společnosti Sophos najdete návod pro většinu populárních prohlížečů.
Doporučuji také odinstalovat všechny další verze Javy, které najdete prostřednictvím Ovládacích panelů systému Windows. Možná najdete tři nebo čtyři: podle mých zkušeností nejsou staré verze Javy vždy odstraněny. Poté spusťte bezplatný program CCleaner, který vyčistí všechny zbylé kousky. (Pokud program CCleaner nemáte, stáhněte si ho z webu piriform.com, nikoli z nějaké podvodné stránky nebo z reklamy Googlu.)
Dále přejděte na web java.com a klikněte na odkaz „Mám Javu?“. Odpověď by měla být ne.
Přeinstalování Javy
Pokud víte, že musíte mít nainstalovanou Javu, můžete nyní provést čistou instalaci nejnovější verze, a to buď Javy 6 až po aktualizaci 39, nebo Javy 7 Update 13. Java 6 je na odchodu a nebude již aktualizována. Některé společnosti u ní zůstaly, možná kvůli hrozné bezpečnostní pověsti Javy 7, která však obsahuje většinu stejných zranitelností. Uživatelé počítačů Mac musí aktualizovat na verzi Java 7 Update 13 pro Mac OS X.
Pokud si nejste jisti, zda Javu potřebujete, zkuste na několik týdnů spustit počítač a zjistit, zda se bez ní obejdete. Na všech webových stránkách, které vyžadují zásuvný modul prohlížeče Java, se zobrazí upozornění. Musíte jej však nainstalovat ze stránek java.com, protože některý škodlivý software se vydává za aktualizaci Javy 11.
Javu instalujte pouze do jediného webového prohlížeče a tento prohlížeč používejte pouze pro stránky v Javě. Pokud například běžně prohlížíte webové stránky pomocí prohlížeče IE nebo Chrome, nainstalujte modul plug-in Java do prohlížeče Firefox nebo Opera nebo naopak. Java je napadána a omezením na jeden prohlížeč se minimalizuje „plocha útoku“.
Kdykoli také instalujete nebo aktualizujete Javu, dělejte to opatrně. Společnost Oracle se může pokusit nainstalovat další software, který rozhodně nechcete, například panel nástrojů Ask. Ed Bott ze ZDNet a Ben Edelman z Harvard Business School analyzovali tento problém v článku A close look at how Oracle instalates deceptive software with Java updates. Nenechte se nachytat.
Java na počítačích Mac
Java je multiplatformní systém, takže stejné zranitelnosti se mohou vyskytovat i v jiných operačních systémech než Windows. Postiženi byli také uživatelé produktů Apple. V roce 2010 se například objevila verze červa Koobface pro systém Mac OS X. Loňský trojský kůň Mac Flashback vedl k zařazení více než 600 000 infikovaných počítačů Mac do botnetu, včetně 274 počítačů v domovském městě společnosti Apple, Cupertinu.
Apple přestal ve výchozím nastavení systému OS X 10.7 (Lion) zahrnovat Javu a právě pomocí svého softwaru XProtect zablokoval aktuální verze Javy, dokud nebyly opraveny. V podstatě tak s Javou zacházel jako se škodlivým softwarem. Tím ochránila zákazníky, ale ne všichni byli spokojeni. Poté, co o tom informoval britský MacWorld (Apple zakazuje Javu na počítačích Mac, podniky, které se na Javu spoléhají, jsou o ni ochuzeny), redaktorka Karen Haslamová si na Twitteru posteskla: „Bohužel jsme jedním z postižených podniků… možná Apple nechce, abychom šli do tisku!“
Časopis InfoWorld si stěžoval, že sabotáž Javy ze strany společnosti Apple je špatný obchod s IT. Vzhledem k tomu, že Apple je společnost vyrábějící spotřební elektroniku, nepředpokládám, že by se příliš starala o podnikové IT.
Další opatření
Myslím si, že by každý měl mít možnost používat jakýkoli operační systém a aplikace, které se mu líbí. Měli byste si však uvědomit, že spouštění Javy v prohlížeči přináší další rizika, a proto byste měli přijmout další opatření.
(1) Vždy spouštějte nejnovější verzi Javy a ujistěte se, že jste nainstalovali všechny záplaty. V současné době to může znamenat kontrolu aktualizací každý týden nebo dokonce každý den. Můžete to provést pomocí nástroje Personal Software Inspector společnosti Secunia. (Vestavěnému aktualizačnímu programu Javy bych nedůvěřoval.)
(2) Provádějte dodatečné kontroly malwaru pomocí jiného antivirového produktu, než který již máte nainstalovaný, zejména pokud je to MSE (Microsoft Security Essentials). Dva dobré bezplatné samostatné programy pro kontrolu jsou Malwarebytes AntiMalware a Kaspersky Security Scan.
(3) Denně zálohujte a udržujte klon pevného disku. Počítače jsou levné, ale data mohou být nenahraditelná.