Bör jag verkligen ta bort Java från alla mina Windows 7-maskiner som kör MSE och Chrome?
Richard (via Twitter)
Jag tycker att alla ska avinstallera Java från alla sina datorer och Mac-datorer, och sedan fundera noga på om de behöver lägga till det igen. Om du är en typisk hemanvändare kan du förmodligen klara dig utan det. Om du är en företagsanvändare kanske du inte har något val. Många företag har använt språket Java för att utveckla affärsprogram som körs på servrar, och detta ”server-side” Java är säkert. Det är Java på ”klientsidan” som körs via plug-ins i webbläsaren som inte är säkert.
Notera att Java inte har något att göra med JavaScript, som är ett annat språk som används för att utveckla webbplatser och appar. JavaScript utvecklades ursprungligen av ett annat företag (Netscape) under ett annat namn (LiveScript). Namnet ändrades av marknadsföringsskäl vilket gjorde att båda de inblandade företagen blev vanärade och inget av dem överlevde.
Java har varit i nyheterna i år på grund av vissa ”zero day”-sårbarheter som utnyttjats av författare av skadlig kod. (Zero day betyder att det inte finns någon patch för hålet, så användarna kan inte skydda sig genom att uppdatera sin programvara). Detta hände också i augusti förra året, och The Register publicerade en artikel med titeln Disable Java NOW, users told, as 0-day exploit hits web.
I själva verket blev Java det viktigaste verktyget för attacker mot skadlig programvara under det tredje kvartalet 2010, då de ökade 14 gånger, enligt Microsofts Security Intelligence Report Volume 10 (PDF). Saker och ting blev värre, och Kaspersky, ett ledande antivirusföretag, kallade 2012 för Java-sårbarheternas år. Det står: ”Säkerhetshål i Java var ansvariga för 50 procent av attackerna. Windows-komponenter och Internet Explorer utnyttjades endast i 3 % av incidenterna”. Ja, så illa är det.
Jag anser därför att Java är en onödig säkerhetsrisk, och jag tog bort det från våra hemdatorer för flera år sedan. Det fanns några saker som jag inte längre kunde köra, t.ex. KeepVid för nedladdning av YouTube-videor och vissa ASDL-hastighetstester, så jag var tvungen att hitta alternativ. Jag föreslår att du gör detsamma. Att leva utan Java är en mycket mindre utmaning än att leva utan Adobe Flash.
Alla program har buggar och kan ha säkerhetshål, så varför denna drakoniska strategi? Tyvärr har jag inte tillräckligt förtroende för Oracles förmåga att åtgärda det. Oracle har inte skrivit Java, utan ärvde det när företaget köpte det fallfärdiga Sun Microsystems, och enligt The Register: ”Metasploit-grundaren HD Moore varnade för att Oracle fortfarande sitter på en backlog av Java-fel som det kommer att ta upp till två år att åtgärda, även utan att nya fel upptäcks.”
Oracle är bra på att sälja högprisprodukter till stora företag, men Java innebär att man har att göra med upp till en miljard icke betalande konsumenter. Jag anser att Oracles försenade svar på den senaste tidens ”veritabla mediaeldstorm” inte ger de rätta ljuden om att skydda konsumenterna. Företaget verkar mer angeläget om att försvara sina vinstdrivande verksamheter inom server-side och inbäddad Java.
Så börja med att inaktivera Java i alla dina webbläsare. I Internet Explorer 8, till exempel, väljer du Verktyg och sedan Hantera tillägg, och i Google Chrome skriver du chrome://plugins i adressfältet. Sophos blogg Naked Security har instruktioner för de flesta populära webbläsare.
Jag rekommenderar också att du avinstallerar alla andra versioner av Java som du kan hitta via Windows kontrollpanel. Du kanske hittar tre eller fyra: enligt min erfarenhet tas gamla versioner av Java inte alltid bort. Kör därefter det kostnadsfria programmet CCleaner för att rensa bort alla bitar som finns kvar. (Om du inte har CCleaner, ladda ner det från piriform.com, inte från någon bluffsajt eller en Google-annons.)
Nästan går du till webbplatsen java.com och klickar på länken där det står ”Do I have Java?”. Svaret bör vara nej.
Renovera Java
Om du vet att du måste ha Java installerat kan du nu göra en ren installation av den senaste versionen, antingen Java 6 till uppdatering 39 eller Java 7 uppdatering 13. Java 6 är på väg ut och kommer inte att uppdateras igen. Vissa företag har hållit fast vid den, möjligen på grund av Java 7:s dåliga säkerhetsrykte, men den har de flesta av samma sårbarheter. Mac-användare måste uppdatera till Java 7 Update 13 för Mac OS X.
Om du inte är säker på att du behöver Java kan du prova att köra din dator i några veckor för att se om du klarar dig utan det. Du kommer att få ett meddelande från alla webbplatser som behöver en Java-plugin för webbläsaren. Du måste dock installera den från java.com, eftersom viss skadlig kod låtsas vara Java uppdatering 11.
Installera bara Java i en enda webbläsare och använd den webbläsaren endast för Java-webbplatser. Om du till exempel normalt surfar på webben med IE eller Chrome, installera Java-plugin i Firefox eller Opera, eller tvärtom. Java attackeras, och genom att begränsa det till en webbläsare minimeras ”angreppsytan”.
Också när du installerar eller uppdaterar Java ska du göra det noggrant. Oracle kan försöka installera annan programvara som du definitivt inte vill ha, till exempel Ask-verktygsfältet. Ed Bott från ZDNet och Ben Edelman från Harvard Business School har analyserat problemet i A close look at how Oracle installs deceptive software with Java updates. Bli inte upptäckt.
Java på Macs
Java är ett plattformsoberoende system, så samma sårbarheter kan finnas på andra operativsystem än Windows. Apple-användare har också drabbats. År 2010 fanns det till exempel en Mac OS X-version av Koobfacemasken. Förra årets Mac Flashback Trojan ledde till att mer än 600 000 infekterade Mac-datorer lades till ett botnät, varav 274 i Apples hemstad Cupertino.
Apple slutade att inkludera Java som standard i OS X 10.7 (Lion) och har just använt sin XProtect-programvara för att blockera aktuella versioner av Java tills de har blivit lagade. I praktiken behandlade man Java som skadlig kod. Detta skyddade kunderna, men alla var inte nöjda. Efter att MacWorld UK rapporterat historien (Apple bans Java from Macs, businesses that rely on Java bereft), skämtade redaktör Karen Haslam på Twitter: ”Tyvärr är vi ett av de företag som berörs… kanske Apple inte vill att vi går till pressen!”
InfoWorld Magazine klagade på att Apples Java-sabotage är dålig IT-verksamhet. Eftersom Apple är ett företag inom konsumentelektronik förväntar jag mig inte att det bryr sig särskilt mycket om företags IT.
Extra försiktighetsåtgärder
Jag tycker att alla ska vara fria att köra vilket operativsystem och vilka program de vill. Du bör dock vara medveten om att det innebär en extra risk att köra Java i webbläsaren och därför bör du vidta extra försiktighetsåtgärder.
(1) Kör alltid den senaste versionen av Java och se till att du installerar alla patchar. För närvarande kan detta innebära att du måste kontrollera om det finns uppdateringar varje vecka eller till och med varje dag. Du kan göra detta med Secunias Personal Software Inspector. (Jag skulle inte lita på Javas inbyggda uppdateringsprogram.)
(2) Kör extra kontroller för skadlig kod med hjälp av en annan antivirusprodukt än den du redan har installerat, särskilt om det är MSE (Microsoft Security Essentials). Två bra gratis fristående kontroller är Malwarebytes AntiMalware och Kaspersky Security Scan.
(3) Gör dagliga säkerhetskopior och ha en klon av din hårddisk. Datorer är billiga men data kan vara oersättliga.