بنتنا يا بنتنا
جدول المحتويات:
- جافا: ضعيف الرابط في سلسلة الأمان
- إصلاح ، توصيل ، وتصحيح Java
- يترك كل هذا السؤال حول ما إذا كان المستخدمون النهائيون - بمعنى أنت - يجب أن يتركوا Java على جهاز الكمبيوتر الخاص بك وربما يقومون بإزالتها بالكامل بدلاً من التحديث.
هل حان الوقت لإعطاء جاوة التمهيد؟ يقول الخبراء نعم.
لقد أصبحت لغة البرمجة Java المصممة لجعل الويب ممتعًا وتفاعليًا واحدة من أضعف الروابط في أجهزة الكمبيوتر الشخصية ودفاعات Mac ضد التهديدات الخارجية. خذ بعين الإعتبار أحدث نقاط الضعف في Java ، وهي نقطة ضعف يتم استغلالها حاليًا من قِبل موزعي البرامج الضارة: عندما أصدرت شركة أوراكل ، شركة Java ، تحديثًا طارئًا لإصلاح البرنامج ، أفاد محللو الأمن أنه حتى الكود الساخن لا يحتوي إلا على ثغرات أمنية إضافية.
ولكن أحدث المشاكل الأمنية مع جافا ليست فريدة من نوعها. على سبيل المثال ، تضع شركة Sophos الأمنية اللوم على ثغرة جافا الأساسية بسبب الهجمات التي قام بها برنامج Flashback الخبيث في شهر أبريل الماضي والتي تسببت في إصابة واحد من أصل خمسة أجهزة Mac.
[المزيد من القراءة: كيفية إزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام Windows لديكالمخاطر التي لا تتحملها} يقول الخبراء الأمنيون إن المكافأة تفوق المكافآت. يقول دومينيك كارج ، مؤسس ومدير القرصنة الرئيسي لشركة AlienVault ، وهي شركة برمجيات الأمن: "أقول إن 90 في المائة من المستخدمين لا يحتاجون إلى جافا بعد الآن". "أنا أعتبر نفسي" مستخدمًا قويًا "وكانت المرة الأخيرة والوحيدة التي أدركت فيها أن جافا مثبتة على جهاز Mac الخاص بي كانت عندما اضطررت إلى تحديثها."
إذا كنت تملك جهاز كمبيوتر ، فأنت تعلم أن الشعور بعدم الأمان يزعجك "طلب تحديث جهاز الكمبيوتر الخاص بك ويندوز للمرة الألف. قد يكون الأمر معطلًا بشكل معتدل ، ولكنه تذكير شهري بأن حاسوبك والمعلومات الشخصية الواردة فيه ، تظل هدفاً للمجرمين.
على مر السنين ، قامت كل من أبل ومايكروسوفت بتعزيز دفاعات أنظمةهما. لقد كان نظام التشغيل Mac قريبًا من مقاومة الثغرات الأمنية ، ولم تعد الشركة تشحن أجهزة جديدة مزودة بجهاز Java مثبت مسبقًا. قامت Microsoft بعمل مطبعة محكمة كاملة للقضاء على نقاط الضعف على مستوى نظام التشغيل منذ اندلاع الفيروس Conficker في أواخر عام 2008 ، ولم تهاجم أي ديدان مماثلة أنظمة Windows منذ ذلك الحين.
Mozilla and Opera ، وكذلك Microsoft ، صانع الإنترنت إكسبلورر ، قضى الجزء الأفضل من العقد الماضي يشدد متصفحاته ضد الهجمات من خلال استعراض مستمر من التحديثات. على سبيل المثال ، تسرد Mozilla 2237 خلل - ليست كلها أخطاء أمنية - تم تثبيتها في الإصدار 15 من متصفح Firefox ، الذي تم نشره في 28 أغسطس.
ولكن حتى إذا كان نظام التشغيل وأمن المتصفح مستوحى من Fort Knox يبدو أن الأشرار دائمًا يجدون فجوة جديدة في الدروع.
جافا: ضعيف الرابط في سلسلة الأمان
بعد أن أصبح اختراق المتصفحات ونظام التشغيل أصعب ، غيّر لصوص البيانات أساليبهم ، مستهدفين أضعف رابطين متصلين: إضافات أو إضافات من متصفح تابع لجهة خارجية والمستخدمين أنفسهم. وبصفتك مكوّنات إضافية تابعة لجهة خارجية ، لا يزال جافا يُساء استخدامها كوسيلة للهجمات الآلية "التي يتم تشغيلها" ، وغالباً ما يتم تمكينها من خلال مجموعات استغلال منخفضة التكلفة تباع في السوق السوداء. نشرت فوربس في شهر مارس قائمة أسعار توضح ما يدفعه المشترون الشائبون من أجل الوصول الحصري إلى نقطة ضعف جديدة تسمى اليوم صفر. إن المكافأة التي تبلغ 40،000 دولار إلى 100000 دولار هي أكثر من دافع كافٍ لاستغلال المبرمجين لبدء العمل في وقت مبكر والعمل في وقت متأخر.
إن جزءًا من عامل الجذب هو وجود جافا في كل مكان. يقول ستيف سانتوريلي ، مدير التوعية العالمية في Team Cymru ، وهي مؤسسة بحثية غير ربحية في فلوريدا: "يكاد يكون هذا بمثابة مجاملة لمطوري جافا". جافا ، على عكس أي برنامج إضافي في المتصفح ، يعمل في كل نظام تشغيل يمكن تخيله تقريبًا. يقول سانتوريلي: "الأمر يتعلق باقتصاديات البرمجيات الخبيثة". يريد مؤلفو البرامج الضارة الحصول على أكبر عائد ممكن على استثماراتهم في مجال التنمية ، وهو ما يعني وجود برامج ضارة تستهدف أكبر سوق ممكن.
توفر جافا جافا على ذلك الاستثمار ، على الرغم من أنها تفعل ذلك بطرق (ربما) تجعل من الرئيس التنفيذي لشركة أوراكل Larry Ellison cringe. ورثت أوراكل جافا عندما حصلت على Sun Microsystems في عام 2009 ، لكن الشركة لم تكن راغبة في التعليق على هذا التقرير.
إصلاح ، توصيل ، وتصحيح Java
بينما يقدم Oracle (و Sun قبله) تحديثات منتظمة لإصلاح مشكلات أمان Java ، يبقى الحصول على هذه التحديثات مثبتة على أجهزة الكمبيوتر والأجهزة الخاصة بكل هؤلاء الملايين من المستخدمين النهائيين تحديًا. > شركة Secunia الأمنية ، التي تقوم بتتبع البرامج المثبتة على أجهزة الكمبيوتر الشخصية للمستخدم النهائي ، تقدم تقارير ربع سنوية عن نقاط الضعف في جافا وكيف يتم إصلاحها بسرعة. وتشير صحيفة حقائق الأمن للجزيرة في الرابع من يناير إلى أن أوراكل أصدرت في عام 2011 خمس نشرات استشارية ، محذرة من 58 نقطة ضعف تشمل جافا. كانت التصحيحات والتحديثات متوفرة في اليوم الذي نشرت فيه النشرة في ثلاث من الحالات الخمس فقط. خلال عام 2011 ، استهدفت 78٪ من هجمات البرمجيات الخبيثة تطبيقات الطرف الثالث الضعيفة ، بما في ذلك جافا وكذلك Adobe Flash و Acrobat.
ترك الإصدارات القديمة والضعيفة لأي برنامج متصل بالإنترنت مثبتًا على جهاز الكمبيوتر هو وصفة للكوارث.
"في العديد من الحالات ، تفشل قدرة الترقية المدمجة في Java بشكل مباشر ، مما يجعل المستخدمين العاديين محاصرين" ، يقول Darien Kindlund ، أحد كبار الموظفين في شركة مكافحة البرامج الضارة FireEye.
"منذ تبني نظام Windows 64 بت 7 ، جافا (وغيرها من الإضافات ، مثل فلاش) تعاني من "كسور 32 بت / 64 بت" ، "يشرح كيندلوند. "لمجرد أنك قمت بتثبيت إصدار 64 بت من جافا ، لا يعني أنك محمي بشكل كامل ، إذا كان لا يزال يتم تثبيت إصدار 32 بتة من Java ضعيف على النظام (أو العكس)."
ملاحظات AlienVault تشير إلى أن Java لم تعد جزءًا من معظم أنظمة التشغيل. "يجب ألا تأتي Java مثبتة مسبقًا مع أنظمة تشغيل شائعة ،" يقول Karg "لا تأتي مع نظام التشغيل Linux بشكل افتراضي ، وأحدث إصدار من Windows لا يجمعها أيضًا."
الآن ، بعد بضعة أسابيع ضرب اندلاع البرمجيات الخبيثة الفلاش باك OSX ، من المفهوم جيدا أن أبل تطلق تحديثات جافا الخاصة بها ، وهذا يعني في بعض الأحيان مستخدمي ماك لا يحصلون على الوصول إلى أحدث إصدار لأسابيع أو أشهر بعد نظرائهم باستخدام Windows.
Java Jitters
يترك كل هذا السؤال حول ما إذا كان المستخدمون النهائيون - بمعنى أنت - يجب أن يتركوا Java على جهاز الكمبيوتر الخاص بك وربما يقومون بإزالتها بالكامل بدلاً من التحديث.
"إذا كنت تستخدم جهاز الكمبيوتر المنزلي الخاص بك على Facebook و YouTube ، يقول سانتوريلي: "مع ذلك ، فإن جافا تعمل بإطار عمل نظام التشغيل أندرويد ، وتستخدمه الشركات" ، لكن لا شيء يشبه مستوى الاهتمام إذا كنت تدير جدول الرواتب أو الموارد المالية. مثل Citrix لإطلاق GoToMeeting و GoToWebinar و GoT خدمات oMyPC عند تحميلها من خلال متصفح.
يوصي بعض الخبراء باستخدام المحاكاة الافتراضية كحل بديل للشركات التي تحتاج إلى استخدام تلك الخدمات المستندة إلى Java. تثبيته في جهاز ظاهري يبقيه على مسافة طويلة من الأنظمة الهامة. قد يكون المستخدم المنزلي ، خصوصًا المرتكز على Facebook والويب ، قادرًا على الاستغناء عن Java تمامًا.
يشير معجبو HTML 5 إلى هذا البديل لتسليم وظائف الوسائط المتعددة التي مكَّنتها Java في وقت سابق من تطوير الويب. إنه محور لكل من تطوير Adobe وعمل AT & T ، ويبدو أنه يكتسب زخماً هذا العام ، على الرغم من أنه يستهدف Flash أكثر من Java.
السؤال حول ما إذا كان يجب الاحتفاظ بـ Java إلى "ملف تعريف المخاطر الخاص بك ، ومدى أهمية هذا النظام هو "، ويقول فريق Cymru في سانتوريلي. "إذا كانت عواقب التوصل إلى حل وسط ستكون كارثية ،" قم بإلغاء تثبيت Java.
Andrew Brandt كاتب مستقل وخبير أمني.
وقت إعطاء جافا الحذاء؟
التحليل: أصبحت لغة البرمجة واحدة من أضعف الروابط في أجهزة الكمبيوتر الشخصية ودفاعات ماك ضد التهديدات الخارجية ، و يتم التخلي عنها ببطء - وبحق -
ألغى Google Chrome مؤخرًا دعمًا للمكونات الإضافية مثل جافا و Silverlight ، وهو الآن دور فايرفوكس. في وقت متأخر من يوم الخميس ، أعلنت موزيلا في مدونتها أن فايرفوكس سيتوقف عن دعم المكونات الإضافية القائمة على بنية واجهة برمجة تطبيقات Netscape Plugin (NPAPI) بحلول نهاية عام 2016. > لسنوات عديدة ، ساعدت الإضافات NPAPI المتصفحات على إضافة وظائف مثل الألعاب ، والغنية خرائط تفاعلية ودعم الفيديو. لكن المكونات الإضافية جاءت أيضًا مع مشكلات مثل الثغرات الأمنية ومشكلات الاستقرار وعيوب الأداء. لقد تغلب
بالنسبة إلى متصفح Firefox من موزيلا ، تنتهي هذه الرحلة في موعد غير محدد في عام 2016 ، بعد مرور ثلاث سنوات على بدء تشغيل Firefox لأول مرة تقييد سلوك المكوِّن الإضافي بوظيفة النقر للتشغيل.
