Moet ik Java echt verwijderen van al mijn Windows 7-machines waarop MSE en Chrome draaien?
Richard (via Twitter)
Ik denk dat iedereen Java van al zijn pc’s en Macs zou moeten verwijderen, en dan goed zou moeten nadenken of ze het weer moeten toevoegen. Als je een typische thuisgebruiker bent, kun je waarschijnlijk zonder. Als je een zakelijke gebruiker bent, heb je misschien geen keus. Veel bedrijven hebben de Java taal gebruikt om bedrijfstoepassingen te ontwikkelen die op servers draaien, en deze “server-side” Java is veilig. Het is de “client-side” Java die draait via web browser plug-ins die niet veilig is.
Merk op dat Java niets te maken heeft met JavaScript, wat een andere taal is die wordt gebruikt om websites en apps te ontwikkelen. JavaScript werd oorspronkelijk ontwikkeld door een ander bedrijf (Netscape) onder een andere naam (LiveScript). De naam werd veranderd om marketingredenen die beide betrokken bedrijven te schande maakten, geen van beide overleefden.
Java is dit jaar in het nieuws geweest vanwege een aantal “zero day” kwetsbaarheden die door malware-schrijvers worden uitgebuit. (Zero day betekent dat er geen patch is voor het gat, zodat gebruikers zich niet kunnen beschermen door hun software bij te werken). Dit gebeurde ook in augustus, en The Register publiceerde een verhaal met de titel Disable Java NOW, users told, as 0-day exploit hits web.
In feite werd Java het belangrijkste middel voor malware-aanvallen in het derde kwartaal van 2010, toen deze 14-voudig toenamen, volgens Microsoft’s Security Intelligence Report Volume 10 (PDF). Het werd nog erger, en Kaspersky, een toonaangevend anti-virusbedrijf, noemde 2012 het jaar van de Java-kwetsbaarheden. Het zei: “Java-beveiligingslekken waren verantwoordelijk voor 50% van de aanvallen. Windows-componenten en Internet Explorer werden slechts in 3% van de incidenten misbruikt.” Ja, zo erg is het.
Ik beschouw Java daarom als een onnodig veiligheidsrisico, en ik heb het jaren geleden van onze thuis-pc’s verwijderd. Er waren een paar dingen die ik niet meer kon draaien, zoals KeepVid voor het downloaden van YouTube-video’s en sommige ASDL-snelheidstests, dus ik moest alternatieven vinden. Ik stel voor dat jij hetzelfde doet. Leven zonder Java is veel minder een uitdaging dan leven zonder Adobe Flash.
Alle programma’s hebben bugs en kunnen veiligheidslekken hebben, dus waarom de Draconische aanpak? Sorry dat ik het zeg, maar ik heb niet genoeg vertrouwen in het vermogen van Oracle om het op te lossen. Oracle heeft Java niet geschreven, het erfde het alleen toen het het falende Sun Microsystems kocht, en volgens The Register: “Metasploit-oprichter HD Moore waarschuwde dat Oracle nog steeds op een achterstand van Java-fouten zit die tot twee jaar zullen duren om te patchen, zelfs zonder de ontdekking van nieuwe fouten.”
Oracle is goed in het verkopen van dure producten aan grote ondernemingen, maar Java heeft te maken met een miljard niet-betalende consumenten. Naar mijn mening maakt Oracle’s verlate reactie op de recente “ware media vuurstorm” niet de juiste geluiden over het beschermen van consumenten. Het lijkt meer bezig met het verdedigen van zijn winstgevende server-side en embedded Java businesses.
Dus, begin met het uitschakelen van Java in al uw browsers. In Internet Explorer 8, bijvoorbeeld, selecteer Extra en vervolgens Add-ons beheren, en in Google Chrome, typ chrome://plugins in de adresbalk. Sophos’s Naked Security blog heeft instructies voor de meeste populaire browsers.
Ik raad ook aan om alle andere versies van Java te verwijderen die u kunt vinden via het Windows Configuratiescherm. Misschien vindt u er drie of vier: mijn ervaring is dat oude versies van Java niet altijd worden verwijderd. Start daarna het gratis programma CCleaner om alle achtergebleven bits op te ruimen. (Als u CCleaner niet heeft, download het dan van piriform.com, niet van een oplichters site of een Google advertentie.)
Naar de java.com website en klik op de link die zegt “Heb ik Java?” Het antwoord zou nee moeten zijn.
Java opnieuw installeren
Als u weet dat u Java geïnstalleerd moet hebben, kunt u nu een schone installatie van de nieuwste versie doen, ofwel Java 6 tot Update 39, of Java 7 Update 13. Java 6 is op sterven na dood en zal niet meer worden bijgewerkt. Sommige bedrijven zijn ermee doorgegaan, mogelijk vanwege de slechte reputatie van Java 7 op het gebied van beveiliging, maar het heeft de meeste van dezelfde kwetsbaarheden. Mac-gebruikers moeten updaten naar Java 7 Update 13 voor Mac OS X.
Als u niet zeker weet of u Java nodig hebt, probeer dan uw pc een paar weken te laten draaien om te zien of u zonder kunt. U krijgt een melding van elke website die een Java browser plug-in nodig heeft. U moet het echter installeren vanaf java.com, omdat sommige malware zich voordoet als Java update 11.
Installeer Java alleen in een enkele webbrowser, en gebruik deze browser alleen voor Java sites. Bijvoorbeeld, als u normaal gesproken op het web surft met IE of Chrome, installeer dan de Java plug-in in Firefox of Opera, of vice versa. Java wordt aangevallen, en door het te beperken tot één browser wordt het “aanvalsoppervlak” geminimaliseerd.
Ook moet u, wanneer u Java installeert of bijwerkt, dit zorgvuldig doen. Oracle kan proberen om andere software te installeren die u absoluut niet wilt, zoals de Ask toolbar. ZDNet’s Ed Bott en Harvard Business School’s Ben Edelman hebben het probleem geanalyseerd in A close look at how Oracle inst installeert misleidende software met Java-updates. Zorg dat je niet betrapt wordt.
Java op Macs
Java is een cross-platform systeem, dus dezelfde kwetsbaarheden kunnen ook aanwezig zijn op andere besturingssystemen dan Windows. Apple-gebruikers hebben ook te lijden gehad. In 2010 was er bijvoorbeeld een Mac OS X-versie van de Koobface-worm. De Mac Flashback Trojan van vorig jaar leidde ertoe dat meer dan 600.000 besmette Macs aan een botnet werden toegevoegd, waaronder 274 in Apple’s thuisstad Cupertino.
Apple stopte met het standaard opnemen van Java in OS X 10.7 (Lion), en heeft net zijn XProtect-software gebruikt om de huidige versies van Java te blokkeren totdat ze gepatcht waren. In feite behandelde het Java als malware. Dit beschermde klanten, maar niet iedereen was blij. Nadat MacWorld UK het verhaal had gemeld (Apple verbant Java van Macs, bedrijven die afhankelijk zijn van Java beroofd), gaf redactrice Karen Haslam op Twitter de volgende reactie “Helaas zijn wij een van de getroffen bedrijven… misschien wil Apple niet dat we naar de pers gaan!”
InfoWorld magazine klaagde dat Apple’s Java-sabotage slechte IT-zaken zijn. Aangezien Apple een bedrijf is dat consumentenelektronica levert, verwacht ik niet dat het zich al te druk maakt over bedrijfs-IT.
Extra voorzorgsmaatregelen
Ik vind dat iedereen vrij moet zijn om welk besturingssysteem en welke applicaties dan ook te draaien. U moet zich er echter van bewust zijn dat het draaien van Java in de browser extra risico’s met zich meebrengt, en daarom moet u extra voorzorgsmaatregelen nemen.
(1) Draai altijd de nieuwste versie van Java en zorg ervoor dat u alle patches installeert. Op dit moment kan dit betekenen dat u elke week, of zelfs elke dag, op updates moet controleren. Je kunt dit doen met Secunia’s Personal Software Inspector. (Ik zou Java’s ingebouwde updater niet vertrouwen.)
(2) Voer extra controles uit op malware met behulp van een ander anti-virus product dan degene die je al geïnstalleerd hebt, vooral als het MSE (Microsoft Security Essentials) is. Twee goede gratis standalone checkers zijn Malwarebytes AntiMalware en Kaspersky Security Scan.
(3) Maak dagelijks back-ups, en bewaar een kloon van uw harde schijf. PC’s zijn goedkoop, maar gegevens kunnen onvervangbaar zijn.