Vídeo: ► 19. 🔴【JAVA TIPS】Habilitar y Deshabilitar JComboBox, JButton, JCheckBox, JTextField, Otros... 🚫 (Setembre 2024)
Java està en atac.
No només dels barrets negres que estan elaborant unitats per descàrregues, fitxers adjunts maliciosos i altres atacs que exploten les vulnerabilitats de la tecnologia, sinó també dels barrets blancs que defensen que els usuaris no haurien d’utilitzar-los en absolut. Fins i tot després que l’Oracle parlava l’últim lot de vulnerabilitats del dia zero a Java, l’equip de preparació d’emergència informàtica del Departament de Seguretat Nacional (US-CERT) recomana als usuaris que apagessin Java.
Igual que el Flash d'Adobe, Java és un objectiu popular a causa de la seva gran instal·lació. Si realment no feu servir llocs web que requereixen Java, endavant i envieu-lo. Fins i tot tenim un bon conjunt d’instruccions sobre com desactivar Java dins del vostre navegador.
Però faig servir Java!
Aleshores, hi ha la resta que utilitzem Java de forma regular.
"Dubto que qualsevol persona que presti atenció als consells sobre seguretat estigui executant Java, IE 6/7/8, et al. Perquè volen: gestionem aquestes coses perquè hem de fer-ho, i la decisió està fora del nostre control". El guru de seguretat Jack Daniel va escriure a Uncommon Sense Security.
Quan vaig mirar al voltant per veure quines aplicacions utilitzaven Java, em vaig adonar que moltes aplicacions populars d’escriptori s’ajustaven a la facturació, incloent alternatives d’Office, ThinkFree Office, LibreOffice i OpenOffice, així com jocs populars com Minecraft. Diverses aplicacions d'Adobe també requereixen que Java executi certs components. Res de què preocupar, ja que són aplicacions Java autònomes i no les que s'executen dins del navegador web.. Si seguíeu les nostres instruccions pas a pas, desactivàveu Java només al navegador. Les aplicacions locals encara funcionaran bé.
Però resulta que hi ha molts llocs i empreses de jocs que encara utilitzen Java. En són un exemple els serveis especialitzats, com el Citi Private Bank, que combina la inversió i la banca tradicional en un sol compte. Serveis al núvol, com ara eines de càrrega de fitxers massius Box.net amb Java. Ambdós Citrix i Cisco ofereixen productes VPN SSL sense client, cosa que permet als usuaris establir un túnel VPN d'accés remot segur mitjançant un navegador web habilitat.
Ets un estudiant? És probable que la vostra escola utilitzi Pissarra, que requereix la versió més recent del complement Java per carregar fitxers i fitxers adjunts, utilitzar la funció de xat en temps real a l’aula virtual i habilitar algunes funcions interactives a la plataforma.
Pogo.com i KidsPlayPark.com ofereixen jocs Java en línia. Segons apareixen en els fòrums dels usuaris, molts usuaris de Pogo, preocupats per les darreres amenaces, semblen haver substituït Java 7 per Java 6 (que Oracle ja no acceptarà després de febrer). Així que ja ho sabeu, és una mala idea espectacular. Hi ha molts atacs que tenen com a objectiu programari obsolet; no és necessari arriscar-se a atacs diferents per evitar la darrera collita.
Quines són les alternatives per a les TI?
"Si teniu alguna aplicació crítica empresarial que requereixi Java: intenteu trobar un substitut", va escriure Johannes Ullrich, el institut de SANS, al bloc d'Internet Storm Center la setmana passada.
Les plataformes de conferències web semblen ser els bloquejos més importants. El WebEx i Citrix GoToMeeting de Cisco solien requerir Java, però les dues plataformes han modificat recentment les seves aplicacions per utilitzar una versió diferent si no pot trobar Java. Citrix va dir que estava en el procés de eliminar de forma totalment Java. Tanmateix, altres de l'espai, inclosos MeetingBurner i Brother's OmniJoin, encara utilitzen Java. Join.me, ClickMeeting i ReadyTalk estan basats en Flash.
Tot i que les eines d’accés remot s’utilitzaven principalment basades en Java, hi ha una llista creixent d’alternatives que es poden utilitzar per a suport tècnic, va dir Chet Wisniewski, assessor de seguretat de Sophos, a SecurityWatch . Els clients d’escriptori remot també s’incorporen a Mac OS X i Windows.
"Per donar suport a la meva mare i al meu pare, faig servir la versió gratuïta de LogMeIn", va dir. LogMeIn Free utilitza ActiveX.
Què passa si no puc canviar?
Per a moltes empreses, "no hi ha cap alternativa", va dir a SecurityWatch Thomas Kristensen, CSO de Secunia. Tot i que és possible substituir algunes aplicacions, en general, els administradors hauran de trobar altres maneres de protegir els seus empleats. Kristensen va dir que una forma de reduir la superfície d’atac és habilitar Java només per als que realment ho necessiten i desactivar-la per a tots els altres.
En lloc de demanar als empleats que deixin d'utilitzar Java, les organitzacions haurien de centrar-se en la "bombolla de bombolles" per protegir els usuaris, va dir a SecurityWatch Anup Ghosh d'Invincea. Els usuaris poden navegar per Internet a través d’un navegador virtualitzat i, si es troben amb llocs malintencionats, obren accidentalment un fitxer atrapat per booby o intenten descarregar programari maliciós, l’entorn virtual impediria que l’atac s’executés a la màquina real. El segon es tanca el navegador virtual, l’atac s’elimina. I el millor de tot, un navegador virtual us protegiria de les més àmplies amenaces, no només de les basades en Java.
Els usuaris poden adoptar un sistema de dos navegadors. Si normalment navegueu pel web amb Firefox, per exemple, penseu en desactivar el complement Java a Firefox. A continuació, activeu Java en un navegador alternatiu com Chrome, IE9, Safari, etc. i navegueu només a llocs que necessiten Java i mai de navegació web general.
"És millor activar Java en un sol navegador i només utilitzar aquest navegador per a llocs web que no funcionin sense ell", va dir Wisniewski.
Als atacants els agrada canviar d’orientació: Flash, Internet Explorer, Adobe Reader. "Tothom té un dia zero en un moment o un altre", va escriure Rob VandenBrink de Metafore a Internet Storm Center.
Desactivar Java és només una manera de defensar-se de les amenaces web, però no és una solució universal. Va dir que les organitzacions poden limitar la seva exposició i adoptar pràctiques de seguretat, com ara el filtratge web i fer que els usuaris corrin amb privilegis limitats per bloquejar els atacs.
"Deixeu d'apuntar els dits i feu recomanacions sobre mantes que no es poden seguir", va escriure VandenBrink.
Per obtenir més informació sobre Fahmida, seguiu-la a Twitter @zdFYRashid.
