Ar trebui să elimin Java de pe toate mașinile mele cu Windows 7 care rulează MSE și Chrome?
Richard (via Twitter)
Cred că toată lumea ar trebui să dezinstaleze Java de pe toate PC-urile și Mac-urile lor și apoi să se gândească bine dacă trebuie să îl adauge din nou. Dacă sunteți un utilizator casnic tipic, probabil că vă puteți descurca fără el. Dacă sunteți un utilizator de afaceri, s-ar putea să nu aveți de ales. Multe companii au folosit limbajul Java pentru a dezvolta aplicații de afaceri care rulează pe servere, iar acest Java „server-side” este sigur. Java „client-side”, care rulează prin intermediul plug-in-urilor din browserul web, este cel care nu este sigur.
Rețineți că Java nu are nimic de-a face cu JavaScript, care este un alt limbaj utilizat pentru a dezvolta site-uri web și aplicații. JavaScript a fost dezvoltat inițial de o altă companie (Netscape) sub un alt nume (LiveScript). Numele a fost schimbat din motive de marketing care au dezonorat ambele companii implicate, niciuna dintre ele nereușind să supraviețuiască.
Java a fost în atenția presei în acest an din cauza unor vulnerabilități „zero day” exploatate de autorii de malware. (Zero day înseamnă că nu există un patch pentru gaura respectivă, astfel încât utilizatorii nu se pot proteja prin actualizarea software-ului). Acest lucru s-a întâmplat și în august anul trecut, iar The Register a publicat un articol care spunea Disable Java NOW, users told, as 0-day exploit hits web.
De fapt, Java a devenit principalul vehicul pentru atacurile malware în al treilea trimestru al anului 2010, când acestea au crescut de 14 ori, conform Microsoft’s Security Intelligence Report Volume 10 (PDF). Lucrurile s-au înrăutățit, iar Kaspersky, una dintre cele mai importante companii anti-virus, a numit 2012 Anul vulnerabilităților Java. Aceasta a declarat: „Găurile de securitate Java au fost responsabile pentru 50% din atacuri. Componentele Windows și Internet Explorer au fost exploatate doar în 3% din incidente”. Da, este atât de rău.
Prin urmare, consider că Java reprezintă un risc de securitate inutil și l-am eliminat de pe PC-urile noastre de acasă cu ani în urmă. Erau câteva lucruri pe care nu le mai puteam rula, cum ar fi KeepVid pentru descărcarea videoclipurilor de pe YouTube și unele teste de viteză ASDL, așa că a trebuit să găsesc alternative. Vă sugerez să faceți același lucru. A trăi fără Java este o provocare mult mai mică decât a trăi fără Adobe Flash.
Toate programele au erori și pot avea găuri de securitate, așa că de ce această abordare draconică? Îmi pare rău să o spun, dar nu am suficientă încredere în capacitatea Oracle de a rezolva problema. Oracle nu a scris Java, doar l-a moștenit atunci când a cumpărat compania Sun Microsystems, aflată în faliment, și, potrivit The Register: „fondatorul Metasploit, HD Moore, a avertizat că Oracle încă stă pe un stoc de defecte Java care va dura până la doi ani pentru a fi remediate, chiar și fără descoperirea de noi defecte.”
Oracle se pricepe să vândă produse scumpe marilor întreprinderi, dar Java presupune să ai de-a face cu până la un miliard de consumatori care nu plătesc. Din punctul meu de vedere, răspunsul tardiv al Oracle la recenta „veritabilă furtună mediatică” nu face zgomotul potrivit în ceea ce privește protejarea consumatorilor. Pare mai degrabă preocupat să-și apere afacerile sale profitabile legate de partea de server și de Java încorporat.
Așadar, începeți prin a dezactiva Java în toate browserele dumneavoastră. În Internet Explorer 8, de exemplu, selectați Tools și apoi Manage Add-ons, iar în Google Chrome, tastați chrome://plugins în bara de adrese. Blogul Naked Security al Sophos are instrucțiuni pentru cele mai populare browsere.
Recomandăm, de asemenea, dezinstalarea oricăror alte versiuni de Java pe care le puteți găsi prin intermediul panoului de control al Windows. Este posibil să găsiți trei sau patru: din experiența mea, versiunile vechi de Java nu sunt întotdeauna eliminate. După aceea, rulați programul gratuit CCleaner pentru a curăța orice biți rămași. (Dacă nu aveți CCleaner, descărcați-l de pe piriform.com, nu de pe vreun site de escrocherie sau de pe o reclamă Google.)
În continuare, mergeți pe site-ul web java.com și faceți clic pe linkul care spune „Am Java?”. Răspunsul ar trebui să fie nu.
Reinstalarea Java
Dacă știți că trebuie să aveți Java instalat, puteți face acum o instalare curată a celei mai recente versiuni, fie Java 6 până la Update 39, fie Java 7 Update 13. Java 6 este pe cale de dispariție și nu va mai fi actualizat. Unele companii au rămas cu el, probabil din cauza reputației teribile a lui Java 7 în materie de securitate, dar acesta prezintă majoritatea acelorași vulnerabilități. Utilizatorii de Mac trebuie să se actualizeze la Java 7 Update 13 pentru Mac OS X.
Dacă nu sunteți sigur că aveți nevoie de Java, încercați să vă folosiți PC-ul timp de câteva săptămâni pentru a vedea dacă vă puteți descurca fără el. Veți primi o notificare de la orice site web care are nevoie de un plug-in Java pentru browser. Cu toate acestea, trebuie să îl instalați de pe java.com, deoarece unele programe malware pretind a fi Java update 11.
Instalați Java doar într-un singur browser web și folosiți acest browser doar pentru site-urile Java. De exemplu, dacă în mod normal navigați pe web cu IE sau Chrome, instalați plug-in-ul Java în Firefox sau Opera, sau invers. Java este atacat, iar restricționarea acestuia la un singur browser minimizează „suprafața de atac”.
De asemenea, ori de câte ori instalați sau actualizați Java, faceți-o cu atenție. Oracle poate încerca să instaleze alte programe pe care cu siguranță nu le doriți, cum ar fi bara de instrumente Ask. Ed Bott de la ZDNet și Ben Edelman de la Harvard Business School au analizat problema în A close look at how Oracle instals deceptive software with Java updates. Nu vă lăsați prins.
Java pe Mac-uri
Java este un sistem cross-platform, astfel încât aceleași vulnerabilități pot fi prezente și pe alte sisteme de operare în afară de Windows. Utilizatorii Apple au avut de asemenea de suferit. În 2010, de exemplu, a existat o versiune Mac OS X a viermelui Koobface. Troianul Mac Flashback de anul trecut a dus la adăugarea la un botnet a peste 600.000 de Mac-uri infectate, dintre care 274 în orașul natal al Apple, Cupertino.
Apple a încetat să mai includă Java în mod implicit în OS X 10.7 (Lion) și tocmai a folosit software-ul său XProtect pentru a bloca versiunile curente de Java până când acestea au fost corectate. De fapt, a tratat Java ca pe un malware. Acest lucru a protejat clienții, dar nu toată lumea a fost mulțumită. După ce MacWorld UK a relatat povestea (Apple interzice Java de pe Mac-uri, companiile care se bazează pe Java sunt lipsite de Java), editorul Karen Haslam a glumit pe Twitter: „Din nefericire, suntem una dintre afacerile afectate… poate că Apple nu vrea ca noi să mergem la presă!”
Revista InfoWorld s-a plâns că sabotajul Java al Apple este o afacere IT proastă. Din moment ce Apple este o companie de electronice de consum, nu mă aștept să fie prea deranjată de IT-ul corporatist.
Precauții suplimentare
Cred că toată lumea ar trebui să fie liberă să ruleze orice sistem de operare și aplicații dorește. Cu toate acestea, ar trebui să fiți conștienți de faptul că rularea Java în browser aduce un risc suplimentar și, prin urmare, ar trebui să luați măsuri de precauție suplimentare.
(1) Rulați întotdeauna cea mai recentă versiune de Java și asigurați-vă că ați instalat toate patch-urile. În prezent, acest lucru poate însemna să verificați dacă există actualizări în fiecare săptămână sau chiar în fiecare zi. Puteți face acest lucru cu Secunia’s Personal Software Inspector. (Nu aș avea încredere în actualizatorul încorporat al Java.)
(2) Efectuați verificări suplimentare pentru malware folosind un produs antivirus diferit de cel pe care îl aveți deja instalat, mai ales dacă este MSE (Microsoft Security Essentials). Două bune verificatoare independente gratuite sunt Malwarebytes AntiMalware și Kaspersky Security Scan.
(3) Efectuați copii de rezervă zilnice și păstrați o clonă a hard disk-ului dumneavoastră. PC-urile sunt ieftine, dar datele pot fi de neînlocuit.
.