ارتباط ضعيف در زنجيره امنيت
امروزه كه نفوذ به سيستمعامل و مرورگرها سختتر شده است، سارقان اطلاعات، تاكتيك خود را عوض كرده و هدف خود را روي دو ارتباط ضعيف باقيمانده قرار دادهاند: افزونههايي كه از سوي افراد بيروني در مرورگر نصب ميشود و خود كاربران. در حالي كه افزونهها ارتقا مييابند، جاوا بهعنوان يك وسيله براي تهاجمهاي خودكار ـ كه اغلب بهوسيله كيتهاي فعالسازي ارزانقيمت در فروشگاههاي سياه بهفروش ميرسند ـ مورد سواستفاده قرار ميگيرد. سايت فوربس ماه مارس فهرستي منتشر كرد كه در آن نشان داده شده بود چه خريداران نابكاري براي دسترسي بيشتر به نقاط آسيبپذير جديد هزينه پرداخت ميكنند. بنابراين پرداخت پاداش چهل تا صد هزار دلار به كدنويسان براي ايجاد انگيزه كار كردن تماموقت، منصفانه بهنظر ميرسد!بخشي كه باعث ميشود اين گونه افراد جذب جاوا شوند، حضور آن در همهجاست. جاوا برخلاف ديگر افزونههاي يك مرورگر در نزديكترين قسمت به سيستمهاي عامل اجرا ميشود و درواقع براي بدافزارها بسيار بهصرفه خواهد بود. نويسندگان بدافزارها خواهان بيشترين بازگشت سرمايه از سرمايهگذاريهاي خود در توسعه بدافزارها هستند و اين يعني هدف بدافزارها روي وسيعترين بازار ممكن قرار دارد.اگرچه شركت اوراكل در مقابل اين مساله موضع گرفته است، ولي جاوا اين بازگشت سرمايه را براي آنها انجام ميدهد. هنگامي كه شركت سان در ۲۰۰۹ توسط اوراكل خريداري شد، جاوا نيز به اين شركت رسيد.
وارد كردن و نصب پچهاي جاوا
درست است كه اوراكل (و قبل از آن سان) بهروزرسانيهايي براي بهبود مسائل امنيتي جاوا ارائه ميكند، ولي نصب كردن آن و بهروزرسانيها در رايانهها و دستگاههاي ميليونها كاربر نهايي همچنان بهعنوان يك چالش مطرح است.شركتهاي امنيتي كه نرمافزارهاي نصب شده بر رايانههاي شخصي كاربران را دنبال ميكنند، بهصورت فصلي آسيبپذيريهاي جاوا و سرعت تثبيت آنها را گزارش ميدهند. گزارشهاي امنيتي سهماهه چهارم اين شركتها نشان ميدهد كه سال ۲۰۱۱، اوراكل پنج آگهي رسمي مشاورهاي منتشر كرد كه بهدليل ۵۸ آسيب موجود در جاوا به كاربران اخطار ميداد. پچها يا بهروزرسانيها هنگام انتشار گزارشها تنها در سه مورد از پنچ مورد در دسترس بودند. سال ۲۰۱۱ حدود ۷۸ درصد از بدافزارها به برنامههاي كاربردي آسيبپذير يورش بردند؛ برنامههايي نظير جاوا، ادوبي فلش و آكروبات.وجود نرمافزاري كه روي يك رايانه نصب شده و به اينترنت متصل ميشود، آن هم در نسخههاي قديمي و آسيبپذير، بهترين فرصت را براي افراد سودجو فراهم ميآورد.در بسياري از موارد، قابليت بهروزرساني خودكار جاوا بخوبي كار نكرده و كاربران عادي را از ياد ميبرد. حتي در ويندوز ۷ نسخه ۶۴ بيتي، جاوا و ديگر افزونهها نظير فلش، در جداسازي نسخههاي ۳۲ بيتي از ۶۴ بيتي ناتوان است؛ به اين معني كه حتي اگر پچ نسخه ۶۴ بيتي جاوا را نصب كرده باشيد، تا زماني كه يك نسخه ۳۲ بيتي آسيبپذير جاوا هنوز در سيستم وجود داشته باشد، سيستم كاملا ايمني نخواهيد داشت.همان طور كه قبلا اشاره شد جاوا ديگر بهعنوان بخش نصبشده سيستمهاي عامل معمول وجود ندارد؛ بهصورت پيشفرض در لينوكس وجود ندارد و نسخههاي اخير ويندوز نيز آن را در خود جاي نداده است. در حال حاضر نيز چند هفته بعد از حمله بدافزارها به OSX مشخص شده است كه اپل بهروزرسانيهاي مختص به خود را براي جاوا منتشر ميكند. اين به معني آن است كه كاربران مك براي هفتهها يا ماهها به آخرين نسخه جاوا دسترسي نخواهند داشت.
زنگ خطر براي جاوا
تمام اين مسائل سوالي را براي هر كاربر نهايي بهوجود ميآورد: آيا بايد بهجاي بهروزرساني، جاوا را بكلي رها يا حتي حذف كرد؟به هر ترتيب جاوا فريمورك خود را تحت سيستمعامل اندرويد اجرا ميكند و بهوسيله شركتهايي نظير كيتريكس براي انتشار سرويسهايي مانند GoToMeeting، GoToWebinar و GoToMyPC كه از طريق مرورگر بارگذاري و اجرا ميشوند مورد استفاده قرار ميگيرد.برخي متخصصان، مجازيسازي را بهعنوان يك راهحل جايگزين براي كسبوكارهايي پيشنهاد ميكنند كه به استفاده از سرويسهاي تحت جاوا نياز دارند. نصب كردن آن در يك ماشين مجازي آن را از محدوده سيستمهاي حياتي و آسيبپذير دور نگاه ميدارد. كاربران خانگي بخصوص آنهايي كه روي فيسبوك و وب تمركز كردهاند ممكن است كماكان استفاده از جاوا را ترجيح دهند، ولي طرفداران HTML5 به راهحلهاي ديگر آن براي در اختيار قرار دادن توابع چند رسانهاي ـ كه جاوا قبلا در توسعه وب ارائه داده بود ـ اشاره ميكنند.در هر صورت سوال نگه داشتن جاوا يا حذف آن به «پروفايل ريسكپذير شما و ميزان حياتي بودن آن سيستم» مربوط است. اگر عواقب سازش با جاوا براي شما گران تمام ميشود، آن را حذف كنيد.
.: Weblog Themes By Pichak :.