Czy naprawdę powinienem usunąć Javę ze wszystkich moich maszyn z systemem Windows 7, na których działa MSE i Chrome?
Richard (przez Twitter)
Sądzę, że każdy powinien odinstalować Javę ze wszystkich swoich komputerów PC i Mac, a następnie dokładnie przemyśleć, czy nie trzeba jej ponownie dodać. Jeśli jesteś typowym użytkownikiem domowym, prawdopodobnie możesz się bez niej obejść. Jeśli jesteś użytkownikiem biznesowym, możesz nie mieć wyboru. Wiele firm używa języka Java do tworzenia aplikacji biznesowych, które działają na serwerach, i ta Java „po stronie serwera” jest bezpieczna. To Java „po stronie klienta” działająca poprzez wtyczki przeglądarki internetowej nie jest bezpieczna.
Zauważ, że Java nie ma nic wspólnego z JavaScript, który jest innym językiem używanym do tworzenia stron internetowych i aplikacji. JavaScript został pierwotnie opracowany przez inną firmę (Netscape) pod inną nazwą (LiveScript). Nazwa została zmieniona z powodów marketingowych, które zhańbiły obie zaangażowane firmy, z których żadna nie przetrwała.
Java była w wiadomościach w tym roku z powodu niektórych luk „zero day” wykorzystywanych przez twórców złośliwego oprogramowania. (Zero day oznacza, że nie ma łaty na dziurę, więc użytkownicy nie mogą chronić się poprzez aktualizację oprogramowania). Zdarzyło się to również w sierpniu zeszłego roku, a The Register opublikował artykuł zatytułowany Disable Java NOW, users told, as 0-day exploit hits web.
W rzeczywistości, Java stała się głównym nośnikiem ataków złośliwego oprogramowania w trzecim kwartale 2010 roku, kiedy to wzrosły one 14-krotnie, zgodnie z Microsoft’s Security Intelligence Report Volume 10 (PDF). Sytuacja uległa pogorszeniu, a Kaspersky, wiodąca firma antywirusowa, nazwała rok 2012 rokiem luk w Javie. Stwierdził on: „Dziury w zabezpieczeniach Javy były odpowiedzialne za 50% ataków. Składniki Windows i Internet Explorer były wykorzystywane tylko w 3% incydentów”. Tak, jest aż tak źle.
Dlatego uważam Javę za niepotrzebne zagrożenie bezpieczeństwa i usunąłem ją z naszych domowych komputerów lata temu. Było kilka rzeczy, których nie mogłem już uruchomić, takich jak KeepVid do pobierania filmów z YouTube i niektóre testy prędkości ASDL, więc musiałem znaleźć alternatywę. Sugeruję, abyś zrobił to samo. Życie bez Javy jest znacznie mniejszym wyzwaniem niż życie bez Adobe Flash.
Wszystkie programy mają błędy i mogą mieć luki w zabezpieczeniach, więc po co to drakońskie podejście? Przykro mi to mówić, ale nie mam wystarczającej pewności, że Oracle jest w stanie to naprawić. Oracle nie napisał Java, tylko odziedziczył go, gdy kupił upadającego Sun Microsystems, a według The Register: „Założyciel Metasploit, HD Moore, ostrzegł, że Oracle wciąż siedzi na zaległym zbiorze błędów w Javie, których załatanie zajmie do dwóch lat, nawet bez odkrycia nowych błędów.”
Oracle jest dobry w sprzedaży drogich produktów dużym przedsiębiorstwom, ale Java wiąże się z kontaktem z nawet miliardem niepłacących konsumentów. Moim zdaniem, spóźniona odpowiedź Oracle na niedawną „istną burzę medialną” nie wydaje odpowiednich dźwięków o ochronie konsumentów. Wydaje się bardziej zaniepokojony obroną swoich zysków po stronie serwera i wbudowanych firm Java.
Więc, zacznij od wyłączenia Java we wszystkich swoich przeglądarkach. W Internet Explorer 8, na przykład, wybierz Narzędzia, a następnie Zarządzaj dodatkami, a w Google Chrome, wpisz chrome://plugins w pasku adresu. Blog Naked Security firmy Sophos zawiera instrukcje dla większości popularnych przeglądarek.
Zalecam również odinstalowanie wszelkich innych wersji Javy, które można znaleźć za pośrednictwem Panelu sterowania Windows. Możesz znaleźć trzy lub cztery: z mojego doświadczenia wynika, że stare wersje Javy nie zawsze są usuwane. Po tym, uruchom darmowy program CCleaner, aby usunąć wszelkie pozostałości. (Jeśli nie masz CCleanera, pobierz go z piriform.com, a nie z jakiejś witryny z oszustwami lub reklamy Google.)
Następnie przejdź na stronę java.com i kliknij łącze z napisem „Czy mam Javę?”. Odpowiedź powinna brzmieć nie.
Reinstalacja Javy
Jeśli wiesz, że musisz mieć zainstalowaną Javę, możesz teraz wykonać czystą instalację najnowszej wersji, albo Java 6 do Update 39, albo Java 7 Update 13. Java 6 jest na wylocie i nie będzie już aktualizowana. Niektóre firmy pozostały przy niej, być może ze względu na fatalną reputację Javy 7 w zakresie bezpieczeństwa, ale zawiera ona większość tych samych luk. Użytkownicy komputerów Mac muszą zaktualizować Javę do wersji Java 7 Update 13 for Mac OS X.
Jeśli nie jesteś pewien, czy potrzebujesz Javy, spróbuj uruchomić komputer przez kilka tygodni, aby sprawdzić, czy możesz się bez niej obejść. Otrzymasz powiadomienie z każdej strony internetowej, która wymaga wtyczki do przeglądarki Java. Musisz jednak zainstalować ją z witryny java.com, ponieważ niektóre złośliwe oprogramowanie udaje aktualizację Java 11.
Jawę instaluj tylko w jednej przeglądarce internetowej i używaj tej przeglądarki tylko do witryn Java. Na przykład, jeśli normalnie przeglądasz strony internetowe za pomocą IE lub Chrome, zainstaluj wtyczkę Java w Firefoksie lub Operze, lub odwrotnie. Java jest atakowana, a ograniczenie jej do jednej przeglądarki minimalizuje „powierzchnię ataku”.
Za każdym razem, gdy instalujesz lub aktualizujesz Javę, rób to ostrożnie. Oracle może próbować zainstalować inne oprogramowanie, którego zdecydowanie nie chcesz, takie jak pasek narzędzi Ask. Ed Bott z ZDNet i Ben Edelman z Harvard Business School przeanalizowali ten problem w artykule A close look at how Oracle installs deceptive software with Java updates. Nie daj się złapać.
Java na Macach
Java jest systemem międzyplatformowym, więc te same luki mogą występować w innych systemach operacyjnych poza Windows. Użytkownicy komputerów Apple również ucierpieli. Na przykład, w 2010 roku pojawiła się wersja robaka Koobface dla systemu Mac OS X. Zeszłoroczny trojan Mac Flashback doprowadził do dodania ponad 600 000 zainfekowanych komputerów Mac do botnetu, w tym 274 w rodzinnym mieście Apple, Cupertino.
Apple przestało domyślnie włączać Javę w systemie OS X 10.7 (Lion) i właśnie wykorzystało swoje oprogramowanie XProtect do zablokowania aktualnych wersji Javy, dopóki nie zostaną załatane. W efekcie traktowało Javę jak złośliwe oprogramowanie. To chroniło klientów, ale nie wszyscy byli zadowoleni. Po MacWorld UK zgłosił historię (Apple bans Java z komputerów Mac, firmy, które polegają na Java bereft), redaktor Karen Haslam quipped na Twitterze: „Niestety jesteśmy jedną z firm dotkniętych … być może Apple nie chce, abyśmy poszli do prasy!”
InfoWorld magazyn skarżył się, że sabotaż Apple Java jest zły biznes IT. Ponieważ Apple jest firmą zajmującą się elektroniką konsumencką, nie spodziewam się, że zbytnio przejmuje się korporacyjnym IT.
Dodatkowe środki ostrożności
Uważam, że każdy powinien mieć swobodę uruchamiania dowolnego systemu operacyjnego i aplikacji, które mu się podobają. Jednak powinieneś być świadomy, że uruchamianie Javy w przeglądarce niesie ze sobą dodatkowe ryzyko, dlatego powinieneś podjąć dodatkowe środki ostrożności.
(1) Zawsze uruchamiaj najnowszą wersję Javy i upewnij się, że zainstalowałeś wszystkie poprawki. W tej chwili może to oznaczać sprawdzanie aktualizacji co tydzień, a nawet codziennie. Możesz to zrobić za pomocą Personal Software Inspector firmy Secunia. (Nie ufałbym wbudowanemu aktualizatorowi Javy.)
(2) Uruchom dodatkowe sprawdzanie złośliwego oprogramowania za pomocą innego produktu antywirusowego niż ten, który już masz zainstalowany, zwłaszcza jeśli jest to MSE (Microsoft Security Essentials). Dwa dobre darmowe samodzielne programy sprawdzające to Malwarebytes AntiMalware i Kaspersky Security Scan.
(3) Wykonuj codzienne kopie zapasowe i zachowaj klon swojego dysku twardego. Komputery są tanie, ale dane mogą być niezastąpione.
(3) Wykonuj codzienne kopie zapasowe i trzymaj klon dysku twardego.