Видео: HUGE EGGS Surprise Toys Challenge with Inflatable water slide (Ноябрь 2024)
Ява находится под атакой.
Не только от черных шляп, которые производят загрузку с диска, вредоносных вложений и других атак, использующих уязвимости в технологии, но также и от белых шляп, которые утверждают, что пользователи вообще не должны его использовать. Даже после того, как Oracle исправила последнюю партию уязвимостей нулевого дня в Java, команда Департамента внутренней безопасности США (US-CERT) рекомендовала пользователям отключать Java.
Как и Adobe Flash, Java является популярной целью из-за ее огромной установленной базы. Если вы действительно не используете веб-сайты, которые требуют Java, продолжайте и выбросьте его. У нас даже есть хороший набор инструкций о том, как отключить Java в вашем браузере.
Но я использую Java!
Тогда есть остальные из нас, кто на самом деле использует Java на регулярной основе.
«Я сомневаюсь, что любой, кто обращает внимание на советы по безопасности, использует Java, IE 6/7/8 и др., Потому что они хотят - мы запускаем эти вещи, потому что должны, и решение находится вне нашего контроля». Гуру безопасности Джек Даниэль написал на «Безопасность необычного чувства».
Когда я оглянулся, чтобы посмотреть, какие приложения используют Java, я понял, что многие популярные настольные приложения отвечают всем требованиям, включая альтернативы Office, ThinkFree Office, LibreOffice и OpenOffice, а также популярные игры, такие как Minecraft. Некоторые приложения Adobe также требуют Java для запуска определенных компонентов. Не о чем беспокоиться, так как это автономные Java-приложения, а не те, которые работают в веб-браузере., Если вы следовали нашим пошаговым инструкциям, вы отключили Java только в браузере. Локальные приложения все равно будут работать нормально.
Но оказывается, что есть много игровых сайтов и предприятий, которые все еще используют Java. Специализированные банковские услуги, такие как Citi Private Bank, который объединяет инвестиции и традиционное банковское обслуживание на одном счете, являются одним из примеров. Облачные сервисы, такие как Box.net, предоставляют инструменты для массовой загрузки файлов с помощью Java. Citrix и Cisco предлагают продукты SSL VPN без клиентов, которые позволяют пользователям устанавливать безопасный VPN-туннель удаленного доступа с помощью веб-браузера с поддержкой Java.
Вы студент? Скорее всего, ваша школа использует Blackboard, которой требуется последняя версия плагина Java для загрузки файлов и вложений, использования функции чата в реальном времени Virtual Classroom и включения некоторых интерактивных функций на платформе.
Pogo.com и KidsPlayPark.com предлагают онлайн-игры на Java. Согласно сообщениям на форумах пользователей, многие пользователи Pogo, обеспокоенные последними угрозами, заменили Java 7 на Java 6 (которую Oracle больше не будет поддерживать после февраля). Просто, чтобы вы знали, это потрясающе плохая идея. Существует множество атак, направленных на устаревшее программное обеспечение; нет необходимости рисковать совершенно другим набором атак только для того, чтобы избежать последнего урожая.
Каковы альтернативы для ИТ?
«Если у вас есть какие-либо критически важные для бизнеса приложения, требующие Java: попробуйте найти замену», - написал на прошлой неделе в блоге Internet Storm Center Йоханнес Ульрих из SANS Institute.
Платформы веб-конференций, похоже, являются крупнейшими препятствиями. Cisco WebEx и Citrix GoToMeeting раньше требовали Java, но обе платформы недавно изменили свои приложения для использования другой версии, если не удается найти Java. Citrix сказал, что это был процесс постепенного отказа от Java. Однако другие в этом пространстве, включая MeetingBurner и OmniJoin от Brother, все еще используют Java. Join.me, ClickMeeting и ReadyTalk основаны на Flash.
Несмотря на то, что инструменты удаленного доступа раньше были в основном основаны на Java, список технической поддержки, который может быть использован для технической поддержки, постоянно растет, сообщил SecurityWatch Чет Висневски, советник по безопасности Sophos. Клиенты удаленного рабочего стола также встроены в Mac OS X и Windows.
«Для поддержки моих мам и пап я использую бесплатную версию LogMeIn», - сказал он. LogMeIn Free использует ActiveX.
Что делать, если я не могу переключиться?
Для многих предприятий «альтернативы нет», - сказал в интервью SecurityWatch Томас Кристенсен, руководитель службы безопасности Secunia. В то время как некоторые приложения могут быть заменены, в целом администраторам нужно будет найти другие способы защиты своих сотрудников. По словам Кристенсена, один из способов уменьшить поверхность атаки - включить Java только для тех, кто в ней действительно нуждается, и отключить ее для всех остальных.
Вместо того, чтобы просить сотрудников прекратить использовать Java, организации должны сосредоточиться на «пузырчатой пленке» для защиты пользователей, сказал Anup Ghosh из Invincea в интервью SecurityWatch . Пользователи могут просматривать веб-страницы через виртуализированный браузер, и если они обнаружат какие-либо вредоносные сайты, случайно откроют файл-ловушку или попытаются загрузить вредоносное ПО, виртуальная среда будет блокировать запуск атаки на реальном компьютере. Второй виртуальный браузер закрыт, атака снята. И что самое приятное, виртуальный браузер защитит вас от более широкого спектра угроз, а не только от Java-угроз.
Пользователи могут использовать систему с двумя браузерами. Если вы обычно просматриваете Интернет с помощью Firefox, например, рассмотрите возможность отключения плагина Java в Firefox. Затем включите Java в альтернативном браузере, таком как Chrome, IE9, Safari и т. Д., И переходите только к тем сайтам, которые нуждаются в Java и никогда не используются для веб-серфинга.
«Лучше всего включить Java в одном браузере и использовать этот браузер только для веб-сайтов, которые не будут работать без него», - сказал Вишневски.
Злоумышленникам нравится менять цели - Flash, Internet Explorer, Adobe Reader. «Каждый день имеет нулевой день», - написал Роб ВанденБринк из Metafore в интернет-центре Storm.
Отключение Java - это всего лишь один из способов защиты от веб-угроз, но не универсальное решение. По его словам, организации могут ограничить свою уязвимость и принять меры безопасности, такие как веб-фильтрация и запуск пользователей с ограниченными правами, чтобы блокировать атаки.
«Прекратите указывать пальцем и давать общие рекомендации, которые не могут быть выполнены», - пишет ВанденБринк.
Чтобы узнать больше о Фахмиде, следите за ней в Твиттере @zdFYRashid.