Video: Cos'è il linguaggio Java e perchè è cosi difficile programmare? (Novembre 2024)
Java è sotto attacco.
Non solo dai cappelli neri che stanno realizzando drive-by-download, allegati dannosi e altri attacchi che sfruttano le vulnerabilità della tecnologia, ma anche dai cappelli bianchi che sostengono che gli utenti non dovrebbero usarlo affatto. Anche dopo che Oracle ha corretto l'ultima serie di vulnerabilità zero-day in Java, il team di pronto intervento informatico (US-CERT) del Dipartimento di Homeland Security ha raccomandato agli utenti di disattivare Java.
Proprio come Adobe Flash, Java è un obiettivo popolare grazie alla sua enorme base installata. Se davvero non usi siti Web che richiedono Java, vai avanti e scaricalo. Abbiamo anche un bel set di istruzioni su come disabilitare Java nel tuo browser.
Ma io uso Java!
Quindi, ci sono altri che effettivamente usano Java su base regolare.
"Dubito che chiunque presti attenzione ai consigli di sicurezza stia eseguendo Java, IE 6/7/8, e così via perché vogliono: gestiamo queste cose perché dobbiamo, e la decisione è fuori dal nostro controllo", Il guru della sicurezza Jack Daniel ha scritto su Uncommon Sense Security.
Quando mi sono guardato intorno per vedere quali applicazioni usavano Java, mi sono reso conto che molte delle applicazioni desktop più diffuse si adattavano bene, comprese alternative di Office, ThinkFree Office, LibreOffice e OpenOffice, nonché giochi popolari come Minecraft. Diverse applicazioni Adobe richiedono inoltre che Java esegua determinati componenti. Niente di cui preoccuparsi, poiché si tratta di applicazioni Java autonome e non di quelle eseguite nel browser Web.. Se hai seguito le nostre istruzioni dettagliate, hai disabilitato Java solo nel browser. Le applicazioni locali funzioneranno comunque bene.
Ma si scopre che ci sono molti siti di gioco e aziende che usano ancora Java. I servizi bancari specializzati, come Citi Private Bank, che combina investimenti e operazioni bancarie tradizionali in un unico conto, sembrano essere un esempio. Servizi cloud come Box.net alimentano strumenti di caricamento di file bulk con Java. Citrix e Cisco offrono entrambi prodotti VPN SSL senza client, che consentono agli utenti di creare un tunnel VPN di accesso remoto sicuro utilizzando un browser Web abilitato a Java.
Sei uno studente? È probabile che la tua scuola utilizzi Blackboard, che richiede l'ultima versione del plug-in Java per caricare file e allegati, utilizzare la funzione di chat in tempo reale Virtual Classroom e abilitare determinate funzionalità interattive sulla piattaforma.
Pogo.com e KidsPlayPark.com offrono giochi Java online. Molti utenti Pogo, preoccupati per le ultime minacce, sembrano aver sostituito Java 7 con Java 6 (che Oracle non supporterà più dopo febbraio), secondo i post sui forum degli utenti. Solo così sai, è una pessima idea. Ci sono molti attacchi che prendono di mira software obsoleti; non è necessario rischiare una serie completamente diversa di attacchi solo per evitare il raccolto più recente.
Quali sono le alternative per l'IT?
"Se hai applicazioni business-critical che richiedono Java: prova a trovare un sostituto", ha scritto Johannes Ullrich del SANS Institute sul blog di Internet Storm Center la scorsa settimana.
Le piattaforme per conferenze Web sembrano essere i maggiori blocchi stradali. Cisco WebEx e Citrix GoToMeeting richiedevano Java, ma entrambe le piattaforme hanno recentemente modificato le proprie applicazioni per utilizzare una versione diversa se non riesce a trovare Java. Citrix ha affermato che era in procinto di eliminare gradualmente Java. Altri nello spazio, tuttavia, tra cui MeetingBurner e Brother's OmniJoin, usano ancora Java. Join.me, ClickMeeting e ReadyTalk sono basati su Flash.
Anche se gli strumenti di accesso remoto erano prevalentemente basati su Java, esiste un elenco crescente di alternative che possono essere utilizzate per il supporto tecnico, ha detto a SecurityWatch Chet Wisniewski, consulente per la sicurezza di Sophos. I client desktop remoti sono inoltre integrati in Mac OS X e Windows.
"Per supportare mamma e papà, utilizzo la versione gratuita di LogMeIn", ha affermato. LogMeIn Free utilizza ActiveX.
Cosa succede se non riesco a passare?
Per molte aziende "non esiste alternativa", ha detto a SecurityWatch Thomas Kristensen, CSO di Secunia. Sebbene sia possibile sostituire alcune applicazioni, in generale, gli amministratori dovranno escogitare altri modi per proteggere i propri dipendenti. Un modo per ridurre la superficie di attacco è abilitare Java solo per coloro che ne hanno effettivamente bisogno e disabilitarlo per tutti gli altri, ha detto Kristensen.
Invece di dire ai dipendenti di smettere di usare Java, le organizzazioni dovrebbero concentrarsi sul "bubble wrap" per proteggere gli utenti, ha dichiarato Anup Ghosh di Invincea a SecurityWatch . Gli utenti possono navigare sul Web tramite un browser virtualizzato e, se incontrano siti dannosi, aprono accidentalmente un file intercettato o tentano di scaricare malware, l'ambiente virtuale bloccherebbe l'esecuzione dell'attacco sul computer reale. Nel momento in cui il browser virtuale viene chiuso, l'attacco viene rimosso. E soprattutto, un browser virtuale ti proteggerebbe da una gamma più ampia di minacce, non solo da quelle basate su Java.
Gli utenti possono adottare un sistema a due browser. Se normalmente navighi sul Web con Firefox, ad esempio, considera di disabilitare il plug-in Java in Firefox. Quindi, abilitare Java in un browser alternativo come Chrome, IE9, Safari, ecc., E navigare solo verso siti che richiedono Java e mai per la navigazione Web generale.
"È meglio abilitare Java in un browser e utilizzarlo solo per i siti Web che non funzioneranno senza di esso", ha affermato Wisniewski.
Agli aggressori piace cambiare target: Flash, Internet Explorer, Adobe Reader. "Ognuno ha un giorno zero in un momento o nell'altro", ha scritto Rob VandenBrink di Metafore su Internet Storm Center.
Disabilitare Java è solo un modo per difendersi dalle minacce Web, ma non è una soluzione universale. Le organizzazioni possono limitare la propria esposizione e adottare pratiche di sicurezza, come il filtraggio Web e il fatto che gli utenti abbiano privilegi limitati, per bloccare gli attacchi, ha affermato.
"Smetti di puntare il dito e fare raccomandazioni generali che non possono essere seguite", ha scritto VandenBrink.
Per ulteriori informazioni su Fahmida, seguila su Twitter @zdFYRashid.