หากคุณไม่สามารถปิดการใช้งานจาวาคุณสามารถทำอะไรได้บ้าง

Java กำลังถูกโจมตี

ไม่เพียง แต่จากหมวกดำที่กำลังสร้างไดรฟ์โดยดาวน์โหลดไฟล์แนบที่เป็นอันตรายและการโจมตีอื่น ๆ ที่ใช้ช่องโหว่ในเทคโนโลยี แต่ยังมาจากหมวกสีขาวที่อ้างว่าผู้ใช้ไม่ควรใช้เลย แม้หลังจากที่ Oracle ได้ทำการแก้ไขช่องโหว่แบบ zero-day ล่าสุดใน Java แล้วทีมผู้แนะนำให้ใช้ Computer Emergency Readiness Team (US-CERT) ของ Homeland Security ก็ปิดตัวลง

เช่นเดียวกับ Flash ของ Adobe Java เป็นเป้าหมายยอดนิยมเนื่องจากมีฐานการติดตั้งที่ใหญ่มาก หากคุณไม่ได้ใช้เว็บไซต์ที่ต้องใช้จาวาจริงๆให้ไปข้างหน้าแล้วทิ้งมัน เรายังมีชุดคำแนะนำที่ดีเกี่ยวกับวิธีปิดการใช้งาน Java ภายในเบราว์เซอร์ของคุณ

แต่ฉันใช้จาวา!

จากนั้นมีพวกเราที่เหลือที่ใช้ Java เป็นประจำ

"ฉันสงสัยว่าใครก็ตามที่ให้ความสำคัญกับคำแนะนำด้านความปลอดภัยกำลังเรียกใช้ Java, IE 6/7/8 และอื่น ๆ เพราะพวกเขาต้องการ - เราดำเนินการสิ่งเหล่านี้เพราะเราต้องทำและการตัดสินใจไม่อยู่เหนือการควบคุมของเรา" ปรมาจารย์ด้านความปลอดภัย Jack Daniel ได้เขียนเกี่ยวกับ Uncommon Sense Security

เมื่อฉันมองไปรอบ ๆ เพื่อดูว่าแอปพลิเคชันใดที่ใช้ Java ฉันรู้ว่าแอพพลิเคชั่นเดสก์ท็อปยอดนิยมจำนวนมากเหมาะสมกับบิลรวมถึงทางเลือก Office, ThinkFree Office, LibreOffice และ OpenOffice รวมถึงเกมยอดนิยมเช่น Minecraft แอพพลิเคชั่น Adobe หลายตัวต้องการ Java เพื่อเรียกใช้ส่วนประกอบบางอย่าง ไม่ต้องกังวลเนื่องจากเป็นแอปพลิเคชัน Java แบบสแตนด์อโลนและไม่ใช่แอพพลิเคชั่นที่ทำงานภายในเว็บเบราว์เซอร์ . หากคุณทำตามคำแนะนำทีละขั้นตอนของเราคุณจะปิดการใช้งาน Java ในเบราว์เซอร์เท่านั้น แอปพลิเคชันในท้องถิ่นจะยังคงทำงานได้ดี

แต่ปรากฎว่ามีเว็บไซต์เกมและธุรกิจจำนวนมากที่ยังคงใช้ Java อยู่ บริการธนาคารเฉพาะทางเช่น Citi Private Bank ซึ่งรวมการลงทุนและการธนาคารแบบดั้งเดิมเข้าเป็นหนึ่งบัญชีดูเหมือนจะเป็นตัวอย่างหนึ่ง บริการคลาวด์เช่นเครื่องมืออัปโหลดไฟล์จำนวนมากที่ใช้พลังงานของ Box.net ด้วย Java Citrix และ Cisco ทั้งสองนำเสนอผลิตภัณฑ์ SSL VPN ที่ลูกค้าใช้น้อยกว่าซึ่งช่วยให้ผู้ใช้สามารถสร้างอุโมงค์ VPN ที่ปลอดภัยและเข้าถึงจากระยะไกลโดยใช้เว็บเบราว์เซอร์ที่เปิดใช้งาน Java

คุณเป็นนักเรียนหรือเปล่า? โอกาสที่โรงเรียนของคุณจะใช้ Blackboard ซึ่งต้องใช้ปลั๊กอิน Java รุ่นล่าสุดเพื่ออัปโหลดไฟล์และสิ่งที่แนบมาใช้คุณลักษณะการแชทแบบเรียลไทม์ห้องเรียนเสมือนจริงและเพื่อเปิดใช้งานคุณลักษณะการโต้ตอบบางอย่างบนแพลตฟอร์ม

Pogo.com และ KidsPlayPark.com เสนอเกม Java ออนไลน์ ผู้ใช้ Pogo หลายคนกังวลเกี่ยวกับภัยคุกคามล่าสุดดูเหมือนว่าจะแทนที่ Java 7 ด้วย Java 6 (ซึ่ง Oracle จะไม่สนับสนุนอีกต่อไปหลังจากเดือนกุมภาพันธ์) ตามการโพสต์ในฟอรัมผู้ใช้ แค่ให้คุณรู้นั่นเป็นความคิดที่ไม่ดีนัก มีการโจมตีมากมายที่กำหนดเป้าหมายซอฟต์แวร์ที่ล้าสมัย ไม่จำเป็นต้องเสี่ยงกับชุดการโจมตีที่แตกต่างกันเพียงเพื่อหลีกเลี่ยงการครอบตัดล่าสุด

ทางเลือกสำหรับ IT คืออะไร?

"หากคุณมีแอปพลิเคชันที่สำคัญทางธุรกิจที่ต้องใช้ Java: ลองค้นหาสิ่งทดแทน" Johannes Ullrich ของ SANS Institute เขียนลงในบล็อก Internet Storm Center เมื่อสัปดาห์ที่แล้ว

แพลตฟอร์มการประชุมผ่านเว็บดูเหมือนจะเป็น Roadblock ที่ใหญ่ที่สุด WebEx และ Citrix GoToMeeting ของ Cisco ใช้เพื่อต้องการ Java แต่ทั้งสองแพลตฟอร์มเพิ่งปรับเปลี่ยนแอปพลิเคชั่นของพวกเขาให้ใช้เวอร์ชันอื่นหากไม่พบ Java Citrix บอกว่ามันกำลังอยู่ในขั้นตอนการยกเลิกการใช้งานจาวาอย่างสมบูรณ์ อย่างไรก็ตามคนอื่น ๆ ในพื้นที่รวมถึง MeetingBurner และ OmniJoin ของ Brother ยังคงใช้ Java Join.me, ClickMeeting และ ReadyTalk นั้นเป็นแบบ Flash

ถึงแม้ว่าเครื่องมือการเข้าถึงจากระยะไกลจะใช้งานบน Java เป็นหลัก แต่ก็มีรายการทางเลือกที่เพิ่มขึ้นซึ่งสามารถใช้สำหรับการสนับสนุนทางเทคนิค Chet Wisniewski ที่ปรึกษาด้านความปลอดภัยของ Sophos กล่าวกับ SecurityWatch ไคลเอนต์เดสก์ท็อประยะไกลยังมีอยู่ใน Mac OS X และ Windows

"เพื่อสนับสนุน Mom and Dad ของฉันฉันใช้ LogMeIn รุ่นฟรี" เขากล่าว LogMeIn ฟรีใช้ ActiveX

เกิดอะไรขึ้นถ้าฉันสลับไม่ได้

สำหรับธุรกิจจำนวนมาก“ ไม่มีทางเลือก” โทมัสคริสเตนเซน CSO แห่ง Secunia กล่าวกับ SecurityWatch แม้ว่าอาจเป็นไปได้ที่จะแทนที่แอปพลิเคชั่นบางตัวโดยทั่วไปผู้ดูแลระบบจะต้องหาวิธีอื่น ๆ ในการปกป้องพนักงานของพวกเขา วิธีหนึ่งในการลดพื้นผิวการโจมตีคือการเปิดใช้งานจาวาสำหรับผู้ที่ต้องการใช้งานจริงและปิดการใช้งานเพื่อคนอื่น Kristensen กล่าว

แทนที่จะบอกให้พนักงานหยุดใช้จาวาองค์กรต่าง ๆ ควรเน้นที่ "ฟองสบู่" เพื่อปกป้องผู้ใช้ Anup Ghosh ของ Invincea บอก SecurityWatch ผู้ใช้สามารถท่องเว็บผ่านทางเบราว์เซอร์เสมือนจริงและหากพวกเขาพบเว็บไซต์ที่เป็นอันตรายใด ๆ เปิดไฟล์ที่ติดกับดักโดยไม่ตั้งใจหรือพยายามดาวน์โหลดมัลแวร์สภาพแวดล้อมเสมือนจะป้องกันการโจมตีจากการทำงานบนเครื่องจริง เบราว์เซอร์เสมือนที่สองถูกปิดการโจมตีจะถูกลบ และที่สำคัญที่สุดเบราว์เซอร์เสมือนจริงจะปกป้องคุณจากภัยคุกคามในวงกว้างไม่เพียง แต่บน Java เท่านั้น

ผู้ใช้สามารถใช้ระบบสองเบราว์เซอร์ หากคุณท่องเว็บด้วย Firefox เป็นปกติให้ลองปิดการใช้งานปลั๊กอิน Java ใน Firefox จากนั้นเปิดใช้งาน Java ในเบราว์เซอร์อื่นเช่น Chrome, IE9, Safari และอื่น ๆ และเรียกดูเว็บไซต์ที่ต้องการ Java และไม่ต้องท่องเว็บทั่วไป

"เป็นการดีที่สุดที่จะเปิดใช้งาน Java ในเบราว์เซอร์เดียวและใช้เฉพาะเบราว์เซอร์นั้นสำหรับเว็บไซต์ที่ไม่สามารถทำงานได้หากไม่มี" Wisniewski กล่าว

ผู้โจมตีต้องการเปลี่ยนเป้าหมาย - Flash, Internet Explorer, Adobe Reader “ ทุกคนมี zero-day ในครั้งเดียวหรืออย่างอื่น” Rob VandenBrink ของ Metafore เขียนไว้ใน Internet Storm Center

การปิดใช้งาน Java เป็นเพียงวิธีหนึ่งในการป้องกันภัยคุกคามทางเว็บ แต่ไม่ใช่วิธีการแก้ปัญหาสากล องค์กรสามารถ จำกัด การเปิดเผยและใช้แนวทางปฏิบัติด้านความปลอดภัยเช่นการกรองเว็บและการให้ผู้ใช้ทำงานด้วยสิทธิ์ที่ จำกัด เพื่อป้องกันการโจมตีเขากล่าว

"หยุดนิ้วชี้และทำคำแนะนำแบบครอบคลุมที่ไม่สามารถติดตามได้" VandenBrink เขียน

สำหรับข้อมูลเพิ่มเติมจาก Fahmida ติดตามเธอบน Twitter @zdFYRashid