Відео: ну где же Ñ‚Ñ‹ любовь Ð¼Ð¾Ñ Ð¿Ñ€ÐµÐºÑ€Ð°Ñное иÑполнение (Вересень 2024)
Ява знаходиться під атакою.
Не тільки з чорних капелюхів, які розробляють драйвер за завантаженням, шкідливих вкладень та інших атак, які експлуатують вразливості в технології, але і від білих капелюхів, які стверджують, що користувачі взагалі не повинні її використовувати. Навіть після того, як Oracle виправила останню партію вразливих місць на нульових днях на Java, Команда з питань готовності до надзвичайних ситуацій комп'ютерної безпеки Департаменту внутрішньої безпеки (US-CERT) рекомендувала користувачам вимикати Java.
Настільки ж, як Adobe Flash, Java є популярною ціллю через надзвичайно велику встановлену базу. Якщо ви дійсно не використовуєте веб-сайти, які вимагають Java, перейдіть і скиньте її. У нас навіть є гарний набір інструкцій, як відключити Java у вашому браузері.
Але я використовую Java!
Тоді є й інші, хто фактично користується Java регулярно.
"Я сумніваюся, що кожен, хто звертає увагу на поради щодо безпеки, працює на Java, IE 6/7/8 та ін., Тому що вони хочуть - ми виконуємо ці речі тому, що нам доведеться, і рішення не в нашому контролі". Гуру безпеки Джек Даніел написав на Uncommon Sense Security.
Коли я оглянувся, щоб побачити, які програми використовують Java, я зрозумів, що багато популярних додатків для настільних комп’ютерів підходять до законопроекту, включаючи альтернативи Office, ThinkFree Office, LibreOffice та OpenOffice, а також популярні ігри, такі як Minecraft. Кілька програм Adobe також вимагають від Java для запуску певних компонентів. Не варто хвилюватися, оскільки це автономні програми Java, а не ті, які працюють у веб-браузері. . Якщо ви дотримувались наших покрокових інструкцій, ви вимкнули Java лише в браузері. Місцеві програми все одно працюватимуть нормально.
Але, виявляється, є безліч ігрових сайтів та підприємств, які все ще використовують Java. Спеціалізованими банківськими послугами, такими як Citi Private Bank, який поєднує вкладення коштів та традиційний банківський бізнес в один рахунок, є прикладом. Хмарні сервіси, такі як інструменти для завантаження масових файлів Box.net із Java. І Citrix, і Cisco пропонують продукти VPN без VPL, що дозволяє клієнтам встановлювати захищений тунель VPN з віддаленим доступом за допомогою веб-браузера з підтримкою Java.
Ти студент? Швидше за все, ваша школа використовує Blackboard, який вимагає останньої версії плагіна Java для завантаження файлів та вкладених файлів, використання функції чату в реальному часі Virtual Classroom та включення певних інтерактивних функцій на платформі.
Pogo.com та KidsPlayPark.com пропонують онлайн ігри Java. Згідно з повідомленнями на форумах користувачів, багато користувачів Pogo, стурбовані останніми загрозами, замінили Java 7 на Java 6 (яку Oracle більше не підтримуватиме після лютого). Просто, щоб ви знали, це надзвичайно погана ідея. Є безліч атак, націлених на застаріле програмне забезпечення; не потрібно ризикувати цілком різними наборами атак, щоб уникнути останнього врожаю.
Які альтернативи для ІТ?
"Якщо у вас є якісь критичні для бізнесу програми, для яких потрібна Java: спробуйте знайти заміну", - написав минулого тижня в блозі Internet Storm Center Йоганнес Улріх (Johann Ullrich).
Платформи веб-конференцій є найбільшою перешкодою. WebEx і Citrix GoToMeeting від Cisco використовували вимогу Java, однак обидві платформи нещодавно змінили свої програми, щоб використовувати іншу версію, якщо вона не може знайти Java. Citrix заявив, що процес поступово припиняє роботу Java. Однак у космосі інші, включаючи MeetBurner та OmniJoin Brother, все ще використовують Java. Join.me, ClickMeeting і ReadyTalk засновані на Flash.
Незважаючи на те, що інструменти віддаленого доступу використовувались переважно на базі Java, існує все більший список альтернатив, які можуть бути використані для технічної підтримки, заявив для SecurityWatch радник із безпеки компанії Sophos Чет Вішневський. Клієнти віддалених настільних ПК також вбудовані в Mac OS X та Windows.
"Для підтримки моєї мами і тата я використовую безкоштовну версію LogMeIn", - сказав він. LogMeIn Free використовує ActiveX.
Що робити, якщо я не можу переключитися?
Для багатьох підприємств "альтернативи немає", сказав SecuritySatch Томас Кристенсен, ОГС Секунії. Хоча можливо замінити деякі програми, загалом адміністраторам потрібно буде придумати інші способи захисту своїх співробітників. Одним із способів зменшити поверхню атаки є включення Java лише для тих, хто її насправді потребує, і відключення її для всіх інших, сказав Крістенсен.
Замість того, щоб казати працівникам припиняти використання Java, організації повинні зосередитись на «обгортанні бульбашок», щоб захистити користувачів, заявив Anup Ghosh від Invincea для SecurityWatch . Користувачі можуть відвідувати Інтернет через віртуалізований веб-переглядач, і якщо вони натрапляють на будь-які шкідливі сайти, випадково відкривають файл, захоплений підлогу, або намагаються завантажити зловмисне програмне забезпечення, віртуальне середовище блокує атаку від запуску на фактичній машині. Другий віртуальний браузер закритий, атака знімається. А найкраще, що віртуальний браузер захистить вас від ширшого спектру загроз, а не лише на основі Java.
Користувачі можуть прийняти систему з двома браузерами. Якщо ви звичайно переглядаєте Інтернет за допомогою Firefox, наприклад, розгляньте можливість вимкнення плагіна Java у Firefox. Потім увімкніть Java в іншому веб-переглядачі, такому як Chrome, IE9, Safari тощо, і перегляньте лише ті сайти, які потребують Java, і ніколи для загального веб-серфінгу.
"Найкраще ввімкнути Java в одному браузері і використовувати цей браузер лише для веб-сайтів, які без нього не працюватимуть", - сказав Вішневський.
Зловмисники люблять змінювати цілі - Flash, Internet Explorer, Adobe Reader. "У кожного в той чи інший день нульовий день", - написав Роб Ванденбенрік в Metamor's Internet Storm Center.
Відключення Java - це лише один із способів захисту від веб-загроз, але не універсальне рішення. Організації можуть обмежувати експозицію та застосовувати методи безпеки, такі як веб-фільтрування та використання користувачів із обмеженими привілеями, щоб блокувати атаки, сказав він.
"Перестаньте вказувати пальцем і робити рекомендації, що не підлягають виконанню", - написав VandenBrink.
Щоб дізнатися більше про Фахміду, слідкуйте за нею у Twitter @zdFYRashid.
