آيا بايد در استفاده از جاوا تجديدنظر كرد؟ درگاهي براي افراد سودجو

 

آيا زمان آن فرا نرسيده است كه جاوا بهبود يابد يا استفاده از آن را متوقف كنيم؟ جاوا، زبان برنامه‌نويسي كه براي جذابيت و تعاملي‌تر كردن وب طراحي شده به يكي از ضعيف‌ترين ارتباط‌هاي يك رايانه درمقابل تهديدهاي خارجي تبديل شده است. آسيب‌پذيري‌هاي اخير جاوا را در نظر بگيريد كه بتازگي توسط بدافزارها مورد سواستفاده قرار گرفته است: هنگامي كه اوراكل، سازنده جاوا، يك به‌روزرساني اضطراري براي استوار كردن نرم‌افزار ارائه كرد، تحليل‌هاي امنيتي گزارش دادند كه حتي كدهاي معمولي هم نقاط آسيب‌پذيري زيادي را در خود دارند.ولي آخرين مشكلات امنيتي جاوا كاملا منحصر به فرد است؛ به‌گونه‌اي كه بسياري از شركت‌هاي تامين امنيت، مقصر حمله‌هاي اخير بدافزارها را خود جاوا مي‌دانند و اعلام كرده‌اند كه دست‌كم 90 درصد كاربران، ديگر به جاوا احتياج نخواهند داشت. درواقع بسياري از كاربران تنها زماني متوجه مي‌شوند كه جاوا روي سيستم آنها نصب شده است كه به‌روزرساني احتياج پيدا مي‌كنند.اگر شما از رايانه شخصي خود استفاده مي‌كنيد، هنگامي كه از شما خواسته مي‌شود به‌طور مستمر ويندوز خود را به‌روزرساني كنيد، حتما احساس آزاردهنده‌اي به شما دست مي‌دهد.طي سال‌هاي متمادي شركت اپل و مايكروسافت سيستم‌هاي حفاظتي خود را قوي‌تر كرده‌اند. سيستم‌عامل مك تقريبا در برابر آسيب‌ها ايمن شده و اپل مدت‌هاست كه ديگر دستگاه‌هاي خود را با جاواي از پيش نصب شده ارائه نمي‌كند. مايكروسافت نيز بعد از حمله كرم Conficker در اواخر سال ۲۰۰۸ يك نسخه كاملا امن براي جلوگيري از آسيب‌هاي سطح سيستم‌عامل توليد كرد كه بعد از آن ديگر هيچ‌يك از كرم‌ها نتوانستند به سيستم‌هاي ويندوزي نفوذ كنند.موزيلا و اوپرا نيز همانند مايكروسافت، دهه گذشته را براي مقاوم كردن مرورگرهايشان درمقابل تهاجمات به‌روزرساني‌هاي پي‌درپي گذراندند. به‌عنوان مثال موزيلا ۲۸ اگوست، ۲۲۳۷ خطا (كه البته همه آنها خطاهاي امنيتي نبودند) را فهرست كرد كه در نسخه ۱۵ مرورگر فايرفاكس به‌طور كامل برطرف شد.حتي اگر امنيت سيستم‌عامل و مرورگر شما توسط شركت‌هاي معتبر تامين شده باشد، همواره افرادي پيدا مي‌شوند كه نقاط ضعف را يافته و از آنها سواستفاده مي‌كنند.

ارتباط ضعيف در زنجيره امنيت

امروزه كه نفوذ به سيستم‌عامل و مرورگرها سخت‌تر شده است، سارقان اطلاعات، تاكتيك خود را عوض كرده و هدف خود را روي دو ارتباط ضعيف باقيمانده قرار داده‌اند: افزونه‌هايي كه از سوي افراد بيروني در مرورگر نصب مي‌شود و خود كاربران. در حالي كه افزونه‌ها ارتقا مي‌يابند، جاوا به‌عنوان يك وسيله براي تهاجم‌هاي خودكار ـ كه اغلب به‌وسيله كيت‌هاي فعال‌سازي ارزان‌قيمت در فروشگاه‌هاي سياه به‌فروش مي‌رسند ـ مورد سواستفاده قرار مي‌گيرد. سايت فوربس ماه مارس فهرستي منتشر كرد كه در آن نشان داده شده بود چه خريداران نابكاري براي دسترسي بيشتر به نقاط آسيب‌پذير جديد هزينه پرداخت مي‌كنند. بنابراين پرداخت پاداش چهل تا صد هزار دلار به كدنويسان براي ايجاد انگيزه كار كردن تمام‌وقت، منصفانه به‌نظر مي‌رسد!بخشي كه باعث مي‌شود اين گونه افراد جذب جاوا شوند، حضور آن در همه‌جاست. جاوا برخلاف ديگر افزونه‌هاي يك مرورگر در نزديك‌ترين قسمت به سيستم‌هاي عامل‌ اجرا مي‌شود و درواقع براي بدافزارها بسيار به‌صرفه خواهد بود. نويسندگان بدافزارها خواهان بيشترين بازگشت سرمايه از سرمايه‌گذاري‌هاي خود در توسعه بدافزارها هستند و اين يعني هدف بدافزارها روي وسيع‌ترين بازار ممكن قرار دارد.اگرچه شركت اوراكل در مقابل اين مساله موضع گرفته است، ولي جاوا اين بازگشت سرمايه را براي آنها انجام مي‌دهد. هنگامي كه شركت سان در ۲۰۰۹ توسط اوراكل خريداري شد، جاوا نيز به اين شركت رسيد.

وارد كردن و نصب پچ‌هاي جاوا

درست است كه اوراكل (و قبل از آن سان) به‌روزرساني‌هايي براي بهبود مسائل امنيتي جاوا ارائه مي‌كند، ولي نصب كردن آن و به‌روزرساني‌ها در رايانه‌ها و دستگاه‌هاي ميليون‌ها كاربر نهايي همچنان به‌عنوان يك چالش مطرح است.شركت‌هاي امنيتي كه نرم‌افزارهاي نصب شده بر رايانه‌هاي شخصي كاربران را دنبال مي‌كنند، به‌صورت فصلي آسيب‌پذيري‌هاي جاوا و سرعت تثبيت آنها را گزارش مي‌دهند. گزارش‌هاي امنيتي سه‌ماهه چهارم اين شركت‌ها نشان مي‌دهد كه سال ۲۰۱۱، اوراكل پنج آگهي رسمي مشاوره‌اي منتشر كرد كه به‌دليل ۵۸ آسيب موجود در جاوا به كاربران اخطار مي‌داد. پچ‌ها يا به‌روزرساني‌ها هنگام انتشار گزارش‌ها تنها در سه مورد از پنچ مورد در دسترس بودند. سال ۲۰۱۱ حدود ۷۸ درصد از بدافزارها به برنامه‌هاي كاربردي آسيب‌پذير يورش بردند؛ برنامه‌هايي نظير جاوا، ادوبي فلش و آكروبات.وجود نرم‌افزاري كه روي يك رايانه نصب شده و به اينترنت متصل مي‌شود، آن هم در نسخه‌هاي قديمي و آسيب‌پذير، بهترين فرصت را براي افراد سودجو فراهم مي‌آورد.در بسياري از موارد، قابليت به‌روزرساني خودكار جاوا بخوبي كار نكرده و كاربران عادي را از ياد مي‌برد. حتي در ويندوز ۷ نسخه ۶۴ بيتي، جاوا و ديگر افزونه‌ها نظير فلش، در جداسازي نسخه‌هاي ۳۲ بيتي از ۶۴ بيتي ناتوان است؛ به اين معني كه حتي اگر پچ نسخه ۶۴ بيتي جاوا را نصب كرده باشيد، تا زماني كه يك نسخه ۳۲ بيتي آسيب‌پذير جاوا هنوز در سيستم وجود داشته باشد، سيستم كاملا ايمني نخواهيد داشت.همان طور كه قبلا اشاره شد جاوا ديگر به‌عنوان بخش نصب‌شده سيستم‌هاي ‌عامل معمول وجود ندارد؛ به‌صورت پيش‌فرض در لينوكس وجود ندارد و نسخه‌هاي اخير ويندوز نيز آن را در خود جاي نداده است. در حال حاضر نيز چند هفته بعد از حمله بدافزارها به OSX مشخص شده است كه اپل به‌روزرساني‌هاي مختص به خود را براي جاوا منتشر مي‌كند. اين به معني آن است كه كاربران مك براي هفته‌ها يا ماه‌ها به آخرين نسخه جاوا دسترسي نخواهند داشت.

زنگ خطر براي جاوا

تمام اين مسائل سوالي را براي هر كاربر نهايي به‌وجود مي‌آورد: آيا بايد به‌جاي به‌روزرساني، جاوا را بكلي رها يا حتي حذف كرد؟به هر ترتيب جاوا فريم‌ورك خود را تحت سيستم‌عامل اندرويد اجرا مي‌كند و به‌وسيله شركت‌هايي نظير كيتريكس براي انتشار سرويس‌هايي مانند GoToMeeting، GoToWebinar و GoToMyPC كه از طريق مرورگر بارگذاري و اجرا مي‌شوند مورد استفاده قرار مي‌گيرد.برخي متخصصان، مجازي‌سازي را به‌عنوان يك راه‌حل جايگزين براي كسب‌وكارهايي پيشنهاد مي‌كنند كه به استفاده از سرويس‌هاي تحت جاوا نياز دارند. نصب كردن آن در يك ماشين مجازي آن را از محدوده سيستم‌هاي حياتي و آسيب‌پذير دور نگاه مي‌دارد. كاربران خانگي بخصوص آنهايي كه روي فيس‌بوك و وب تمركز كرده‌اند ممكن است كماكان استفاده از جاوا را ترجيح دهند، ولي طرفداران HTML5 به راه‌حل‌هاي ديگر آن براي در اختيار قرار دادن توابع چند رسانه‌اي ـ كه جاوا قبلا در توسعه وب ارائه داده بود ـ اشاره مي‌كنند.در هر صورت سوال نگه داشتن جاوا يا حذف آن به «پروفايل ريسك‌پذير شما و ميزان حياتي بودن آن سيستم» مربوط است. اگر عواقب سازش با جاوا براي شما گران تمام مي‌شود، آن را حذف كنيد.





تاريخ : دو شنبه 17 مهر 1391برچسب:, | | نویسنده : مقدم |