Video: Váºn Äá»ng viên ngất tại Asiad do nắng nóng và ô nhiá» m (Tháng Chín 2024)
Java đang bị tấn công.
Không chỉ từ những chiếc mũ đen đang tạo ra các lượt tải xuống, các tệp đính kèm độc hại và các cuộc tấn công khác khai thác các lỗ hổng trong công nghệ, mà còn từ các mũ trắng cho rằng người dùng không nên sử dụng nó. Ngay cả sau khi Oracle vá hàng loạt lỗ hổng zero-day mới nhất trong Java, Nhóm Sẵn sàng khẩn cấp máy tính của Bộ An ninh Nội địa (US-CERT) đã khuyến nghị người dùng tắt Java.
Giống như Flash của Adobe, Java là một mục tiêu phổ biến vì cơ sở được cài đặt rất lớn của nó. Nếu bạn thực sự không sử dụng các trang web yêu cầu Java, hãy tiếp tục và kết xuất nó. Chúng tôi thậm chí có một bộ hướng dẫn tuyệt vời về cách vô hiệu hóa Java trong trình duyệt của bạn.
Nhưng tôi sử dụng Java!
Sau đó, có những người còn lại thực sự sử dụng Java một cách thường xuyên.
"Tôi nghi ngờ rằng bất kỳ ai chú ý đến lời khuyên bảo mật đều đang chạy Java, IE 6/7/8, và cộng sự vì họ muốn điều tra chúng tôi chạy những thứ này vì chúng tôi phải làm và quyết định nằm ngoài tầm kiểm soát của chúng tôi" chuyên gia bảo mật Jack Daniel đã viết trên Uncommon Sense Security.
Khi tôi nhìn xung quanh để xem những ứng dụng nào đã sử dụng Java, tôi nhận ra nhiều ứng dụng máy tính để bàn phổ biến phù hợp với hóa đơn, bao gồm các lựa chọn thay thế Office, ThinkFree Office, LibreOffice và OpenOffice, cũng như các trò chơi phổ biến như Minecraft. Một số ứng dụng Adobe cũng yêu cầu Java để chạy các thành phần nhất định. Không có gì phải lo lắng, vì đây là những ứng dụng Java độc lập và không phải là những ứng dụng chạy trong trình duyệt Web. . Nếu bạn đã làm theo các hướng dẫn từng bước của chúng tôi, bạn chỉ tắt Java trong trình duyệt. Các ứng dụng cục bộ vẫn sẽ chạy tốt.
Nhưng hóa ra có rất nhiều trang web và doanh nghiệp chơi game vẫn sử dụng Java. Các dịch vụ ngân hàng chuyên biệt, như Citi Private Bank, kết hợp đầu tư và ngân hàng truyền thống vào một tài khoản, dường như là một ví dụ. Các dịch vụ đám mây như công cụ tải lên tệp hàng loạt của Box.net với Java. Citrix và Cisco đều cung cấp các sản phẩm SSL VPN không có máy khách, cho phép người dùng thiết lập đường hầm VPN truy cập từ xa, an toàn bằng trình duyệt Web hỗ trợ Java.
Bạn là sinh viên phải không Có thể trường học của bạn sử dụng Blackboard, yêu cầu phiên bản mới nhất của plugin Java để tải lên các tệp và tệp đính kèm, sử dụng tính năng trò chuyện thời gian thực Lớp học ảo và để bật một số tính năng tương tác nhất định trên nền tảng.
Pogo.com và KidsPlayPark.com cung cấp các trò chơi Java trực tuyến. Nhiều người dùng Pogo, lo lắng về các mối đe dọa mới nhất, dường như đã thay thế Java 7 bằng Java 6 (mà Oracle sẽ không còn hỗ trợ sau tháng 2), theo các bài đăng trên diễn đàn người dùng. Chỉ để bạn biết, đó là một ý tưởng tồi tệ ngoạn mục. Có rất nhiều cuộc tấn công nhắm vào phần mềm lỗi thời; không cần phải mạo hiểm với một loạt các cuộc tấn công khác nhau chỉ để tránh vụ mùa mới nhất.
Các lựa chọn thay thế cho CNTT là gì?
"Nếu bạn có bất kỳ ứng dụng quan trọng nào trong kinh doanh yêu cầu Java: hãy cố gắng tìm một sự thay thế", ông Julian Ullrich của Học viện Sans đã viết trên blog Internet Storm Center vào tuần trước.
Nền tảng hội nghị web dường như là rào cản lớn nhất. WebEx và Citrix GoToMeeting của Cisco được sử dụng để yêu cầu Java, nhưng cả hai nền tảng gần đây đã sửa đổi các ứng dụng của họ để sử dụng một phiên bản khác nếu không thể tìm thấy Java. Citrix cho biết họ đang trong quá trình loại bỏ hoàn toàn Java. Tuy nhiên, những người khác trong không gian, bao gồm cả MeetBurner và Brother's OmniJoin, vẫn sử dụng Java. Join.me, ClickMeeting và ReadyTalk dựa trên Flash.
Mặc dù các công cụ truy cập từ xa thường chủ yếu dựa trên Java, nhưng có một danh sách ngày càng nhiều các lựa chọn thay thế có thể được sử dụng để hỗ trợ công nghệ, Chet Wisniewski, cố vấn bảo mật cho Sophos, nói với SecurityWatch . Máy khách từ xa cũng được tích hợp vào Mac OS X và Windows.
"Để hỗ trợ cho Bố mẹ tôi, tôi sử dụng phiên bản LogMeIn miễn phí", ông nói. LogMeIn miễn phí sử dụng ActiveX.
Nếu tôi không thể chuyển đổi thì sao?
Đối với nhiều doanh nghiệp, "không có sự thay thế nào", Thomas Kristensen, CSO của Secunia, nói với SecurityWatch . Mặc dù có thể thay thế một số ứng dụng, nhưng nói chung, các quản trị viên sẽ cần đưa ra các cách khác để bảo vệ nhân viên của họ. Một cách để giảm bề mặt tấn công là chỉ kích hoạt Java cho những người thực sự cần nó và vô hiệu hóa nó cho những người khác, Kristensen nói.
Thay vì bảo nhân viên ngừng sử dụng Java, các tổ chức nên tập trung vào "bọc bong bóng" để bảo vệ người dùng, Anup Ghosh của Invincea nói với SecurityWatch . Người dùng có thể lướt web thông qua trình duyệt ảo hóa và nếu gặp phải bất kỳ trang web độc hại nào, vô tình mở tệp bị bẫy hoặc cố gắng tải xuống phần mềm độc hại, môi trường ảo sẽ chặn cuộc tấn công chạy trên máy thực tế. Thứ hai trình duyệt ảo bị đóng, cuộc tấn công được loại bỏ. Và tốt nhất, một trình duyệt ảo sẽ bảo vệ bạn khỏi một loạt các mối đe dọa, không chỉ các mối đe dọa dựa trên Java.
Người dùng có thể áp dụng một hệ thống hai trình duyệt. Ví dụ, nếu bạn thường duyệt Web bằng Firefox, hãy xem xét việc vô hiệu hóa plugin Java trong Firefox. Sau đó, kích hoạt Java trong một trình duyệt thay thế như Chrome, IE9, Safari, v.v. và chỉ duyệt đến các trang web cần Java và không bao giờ để lướt web nói chung.
"Tốt nhất là kích hoạt Java trong một trình duyệt và chỉ sử dụng trình duyệt đó cho các trang web sẽ không hoạt động mà không có nó", Wisniewski nói.
Những kẻ tấn công muốn thay đổi mục tiêu Flash Flash, Internet Explorer, Adobe Reader. "Mọi người đều có ngày không lúc này hay lúc khác", Rob VandenBrink của Metafore viết trên Trung tâm Bão Internet.
Vô hiệu hóa Java chỉ là một cách để bảo vệ chống lại các mối đe dọa Web, nhưng không phải là một giải pháp phổ quát. Các tổ chức có thể hạn chế tiếp xúc và áp dụng các thực tiễn bảo mật, như lọc Web và cho phép người dùng chạy với các đặc quyền hạn chế, để chặn các cuộc tấn công, ông nói.
"Dừng ngón tay trỏ và đưa ra khuyến nghị chăn không thể theo được, " VandenBrink viết.
Để biết thêm từ Fahmida, hãy theo dõi cô ấy trên Twitter @zdFYRashid.
