У дома Securitywatch Ако не можете да деактивирате Java, какво можете да направите?

Ако не можете да деактивирате Java, какво можете да направите?

Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Ноември 2024)

Видео: Ангел Бэби Новые серии - Игра окончена (29 серия) Поучительные мультики для детей (Ноември 2024)
Anonim

Java е атакувана.

Не само от черните шапки, които изработват драйв за изтегляне, злонамерени прикачени файлове и други атаки, които експлоатират уязвимостите в технологията, но и от белите шапки, които твърдят, че потребителите изобщо не трябва да го използват. Дори след като Oracle закърпи най-новата партида от уязвимости за нулев ден в Java, екипът на Отдела за вътрешна сигурност за компютърна готовност (US-CERT) препоръчва на потребителите да изключат Java.

Подобно на Flash на Adobe, Java е популярна цел поради своята изключително голяма инсталирана база. Ако наистина не използвате уебсайтове, които изискват Java, продължете и го зарежете. Дори имаме хубав набор от инструкции как да деактивирате Java в браузъра си.

Но аз използвам Java!

След това, ние сме останалите, които всъщност използват Java редовно.

„Съмнявам се, че всеки, който обърне внимание на съветите за сигурност, управлява Java, IE 6/7/8 и др., Защото те искат - ние изпълняваме тези неща, защото трябва и решението е извън нашия контрол“ гуруто по сигурността Джак Даниел написа на Uncommon Sense Security.

Когато се огледах, за да видя какви приложения използват Java, разбрах, че много популярни настолни приложения отговарят на сметката, включително алтернативи на Office, ThinkFree Office, LibreOffice и OpenOffice, както и популярни игри като Minecraft. Няколко приложения на Adobe също изискват Java да стартира определени компоненти. Няма какво да се притеснявате, тъй като това са самостоятелни Java приложения, а не тези, които се изпълняват в уеб браузъра., Ако следвате нашите стъпка по стъпка инструкции, деактивирахте Java само в браузъра. Местните приложения все още ще работят добре.

Но се оказва, че има много сайтове и фирми за игри, които все още използват Java. Специализираните банкови услуги като Citi Private Bank, която комбинира инвестиции и традиционно банкиране в една сметка, изглежда са един пример. Облачни услуги като Box.net инструменти за качване на групови файлове с Java. И Citrix и Cisco предлагат SSL VPN продукти без клиент, което позволява на потребителите да установят защитен VPN тунел с отдалечен достъп с помощта на уеб браузър с активиран Java.

Студент ли си? Вероятно е вашето училище да използва Blackboard, който изисква най-новата версия на приставката за Java, за да качва файлове и прикачени файлове, да използва функцията за чат в реално време Virtual Classroom и да активира определени интерактивни функции в платформата.

Pogo.com и KidsPlayPark.com предлагат онлайн игри с Java. Много потребители на Pogo, притеснени от последните заплахи, изглежда са заменили Java 7 с Java 6 (която Oracle вече няма да поддържа след февруари), според публикациите на потребителските форуми. Само за да знаете, това е зрелищно лоша идея. Има много атаки, насочени към остарял софтуер; не е необходимо да рискувате изцяло различен набор от атаки, само за да избегнете най-новата реколта.

Какви са алтернативите за ИТ?

"Ако имате някакви критични за бизнеса приложения, които изискват Java: опитайте се да намерите заместник", написа Йоханес Улрих от Института на SANS в блога на Internet Storm Center миналата седмица.

Платформите за уеб конференции са най-големите препятствия. WebEx и Citrix GoToMeeting на Cisco използваха изискването на Java, но и двете платформи наскоро промениха своите приложения, за да използват различна версия, ако не могат да намерят Java. Citrix заяви, че е в процес на постепенно премахване на Java. Други в пространството обаче, включително MeetBurner и OmniJoin на Brother, все още използват Java. Join.me, ClickMeeting и ReadyTalk са базирани на Flash.

Въпреки че инструментите за отдалечен достъп, използвани предимно на базата на Java, има все по-голям списък от алтернативи, които могат да бъдат използвани за техническа поддръжка, заяви пред SecurityWatch Чет Вишневски, съветник по сигурността на Sophos. Клиентите за отдалечен работен плот също са вградени в Mac OS X и Windows.

"За да подкрепя моята мама и татко, използвам безплатната версия на LogMeIn", каза той. LogMeIn Free използва ActiveX.

Какво става, ако не мога да превключвам?

За много бизнеси „няма алтернатива“, заяви пред SecurityWatch Томас Кристенсен, ОГС на Секуния. Въпреки че е възможно да се заменят някои приложения, като цяло администраторите ще трябва да измислят други начини да защитят своите служители. Един от начините да се намали атакуващата повърхност е да се даде възможност на Java само за онези, които всъщност се нуждаят от нея и да я деактивирате за всички останали, каза Кристенсен.

Вместо да казват на служителите да спрат да използват Java, организациите трябва да се съсредоточат върху „увиването на балони“, за да защитят потребителите, каза пред SecurityWatch Ануп Гош на Invincea. Потребителите могат да сърфират в Мрежата чрез виртуализиран браузър и ако се натъкнат на някакви злонамерени сайтове, случайно да отворят затворен файл или да се опитат да изтеглят злонамерен софтуер, виртуалната среда ще блокира атаката да се изпълнява на действителната машина. Вторият виртуален браузър е затворен, атаката се премахва. И най-хубавото е, че виртуален браузър би ви предпазил от по-широк спектър от заплахи, а не само от тези, базирани на Java.

Потребителите могат да приемат система с два браузъра. Ако обикновено сърфирате в мрежата с Firefox, например, помислете за деактивиране на приставката за Java в Firefox. След това активирайте Java в алтернативен браузър като Chrome, IE9, Safari и т.н., и разглеждайте само сайтове, които се нуждаят от Java и никога за общо сърфиране в Интернет.

„Най-добре е да активирате Java в един браузър и да използвате този браузър само за уебсайтове, които без него няма да функционират“, каза Вишневски.

Нападателите обичат да променят цели - Flash, Internet Explorer, Adobe Reader. "Всеки има нулев ден в един или друг момент", написа Роб ВанденБринк на Metafore в Интернет Storm Center.

Деактивирането на Java е само един начин за защита от уеб заплахи, но не и универсално решение. Организациите могат да ограничат експозицията си и да приемат практики за сигурност, като например уеб филтриране и да използват потребителите да работят с ограничени привилегии, за да блокират атаките, каза той.

„Спрете да сочите пръст и да отправяте препоръки за одеяло, които не могат да бъдат спазвани“, пише VandenBrink.

За повече информация от Fahmida, следвайте я в Twitter @zdFYRashid.

Ако не можете да деактивирате Java, какво можете да направите?