جاوا؛ درگاهی برای افراد سودجو
آسیبپذیریهای اخیر جاوا را در نظر بگیرید كه بتازگی توسط بدافزارها مورد سواستفاده قرار گرفته است: هنگامی كه اوراكل، سازنده جاوا، یك بهروزرسانی اضطراری برای استوار كردن نرمافزار ارائه كرد، تحلیلهای امنیتی گزارش دادند كه حتی كدهای معمولی هم نقاط آسیبپذیری زیادی را در خود دارند.
ولی آخرین مشكلات امنیتی جاوا كاملا منحصر به فرد است؛ بهگونهای كه بسیاری از شركتهای تامین امنیت، مقصر حملههای اخیر بدافزارها را خود جاوا میدانند و اعلام كردهاند كه دستكم 90 درصد كاربران، دیگر به جاوا احتیاج نخواهند داشت. درواقع بسیاری از كاربران تنها زمانی متوجه میشوند كه جاوا روی سیستم آنها نصب شده است كه بهروزرسانی احتیاج پیدا میكنند.
اگر شما از رایانه شخصی خود استفاده میكنید، هنگامی كه از شما خواسته میشود بهطور مستمر ویندوز خود را بهروزرسانی كنید، حتما احساس آزاردهندهای به شما دست میدهد.
طی سالهای متمادی شركت اپل و مایكروسافت سیستمهای حفاظتی خود را قویتر كردهاند. سیستمعامل مك تقریبا در برابر آسیبها ایمن شده و اپل مدتهاست كه دیگر دستگاههای خود را با جاوای از پیش نصب شده ارائه نمیكند. مایكروسافت نیز بعد از حمله كرم Conficker در اواخر سال 2008 یك نسخه كاملا امن برای جلوگیری از آسیبهای سطح سیستمعامل تولید كرد كه بعد از آن دیگر هیچیك از كرمها نتوانستند به سیستمهای ویندوزی نفوذ كنند.
موزیلا و اوپرا نیز همانند مایكروسافت، دهه گذشته را برای مقاوم كردن مرورگرهایشان درمقابل تهاجمات بهروزرسانیهای پیدرپی گذراندند. بهعنوان مثال موزیلا 28 اگوست، 2237 خطا (كه البته همه آنها خطاهای امنیتی نبودند) را فهرست كرد كه در نسخه 15 مرورگر فایرفاكس بهطور كامل برطرف شد.
حتی اگر امنیت سیستمعامل و مرورگر شما توسط شركتهای معتبر تامین شده باشد، همواره افرادی پیدا میشوند كه نقاط ضعف را یافته و از آنها سواستفاده میكنند.
ارتباط ضعیف در زنجیره امنیت
امروزه كه نفوذ به سیستمعامل و مرورگرها سختتر شده است، سارقان اطلاعات، تاكتیك خود را عوض كرده و هدف خود را روی دو ارتباط ضعیف باقیمانده قرار دادهاند: افزونههایی كه از سوی افراد بیرونی در مرورگر نصب میشود و خود كاربران. در حالی كه افزونهها ارتقا مییابند، جاوا بهعنوان یك وسیله برای تهاجمهای خودكار ـ كه اغلب بهوسیله كیتهای فعالسازی ارزانقیمت در فروشگاههای سیاه بهفروش میرسند ـ مورد سواستفاده قرار میگیرد. سایت فوربس ماه مارس فهرستی منتشر كرد كه در آن نشان داده شده بود چه خریداران نابكاری برای دسترسی بیشتر به نقاط آسیبپذیر جدید هزینه پرداخت میكنند. بنابراین پرداخت پاداش چهل تا صد هزار دلار به كدنویسان برای ایجاد انگیزه كار كردن تماموقت، منصفانه بهنظر میرسد!
بخشی كه باعث میشود این گونه افراد جذب جاوا شوند، حضور آن در همهجاست. جاوا برخلاف دیگر افزونههای یك مرورگر در نزدیكترین قسمت به سیستمهای عامل اجرا میشود و درواقع برای بدافزارها بسیار بهصرفه خواهد بود.
نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایهگذاریهای خود در توسعه بدافزارها هستند و این یعنی هدف بدافزارها روی وسیعترین بازار ممكن قرار دارد.
اگرچه شركت اوراكل در مقابل این مساله موضع گرفته است، ولی جاوا این بازگشت سرمایه را برای آنها انجام میدهد. هنگامی كه شركت سان در 2009 توسط اوراكل خریداری شد، جاوا نیز به این شركت رسید.
وارد كردن و نصب پچهای جاوا
درست است كه اوراكل (و قبل از آن سان) بهروزرسانیهایی برای بهبود مسائل امنیتی جاوا ارائه میكند، ولی نصب كردن آن و بهروزرسانیها در رایانهها و دستگاههای میلیونها كاربر نهایی همچنان بهعنوان یك چالش مطرح است.
شركتهای امنیتی كه نرمافزارهای نصب شده بر رایانههای شخصی كاربران را دنبال میكنند، بهصورت فصلی آسیبپذیریهای جاوا و سرعت تثبیت آنها را گزارش میدهند. گزارشهای امنیتی سهماهه چهارم این شركتها نشان میدهد كه سال 2011، اوراكل پنج آگهی رسمی مشاورهای منتشر كرد كه بهدلیل 58 آسیب موجود در جاوا به كاربران اخطار میداد. پچها یا بهروزرسانیها هنگام انتشار گزارشها تنها در سه مورد از پنچ مورد در دسترس بودند. سال 2011 حدود 78 درصد از بدافزارها به برنامههای كاربردی آسیبپذیر یورش بردند؛ برنامههایی نظیر جاوا، ادوبی فلش و آكروبات.
وجود نرمافزاری كه روی یك رایانه نصب شده و به اینترنت متصل میشود، آن هم در نسخههای قدیمی و آسیبپذیر، بهترین فرصت را برای افراد سودجو فراهم میآورد.
در بسیاری از موارد، قابلیت بهروزرسانی خودكار جاوا بخوبی كار نكرده و كاربران عادی را از یاد میبرد. حتی در ویندوز 7 نسخه 64 بیتی، جاوا و دیگر افزونهها نظیر فلش، در جداسازی نسخههای 32 بیتی از 64 بیتی ناتوان است؛ به این معنی كه حتی اگر پچ نسخه 64 بیتی جاوا را نصب كرده باشید، تا زمانی كه یك نسخه 32 بیتی آسیبپذیر جاوا هنوز در سیستم وجود داشته باشد، سیستم كاملا ایمنی نخواهید داشت.
همان طور كه قبلا اشاره شد جاوا دیگر بهعنوان بخش نصبشده سیستمهای عامل معمول وجود ندارد؛ بهصورت پیشفرض در لینوكس وجود ندارد و نسخههای اخیر ویندوز نیز آن را در خود جای نداده است. در حال حاضر نیز چند هفته بعد از حمله بدافزارها به OSX مشخص شده است كه اپل بهروزرسانیهای مختص به خود را برای جاوا منتشر میكند. این به معنی آن است كه كاربران مك برای هفتهها یا ماهها به آخرین نسخه جاوا دسترسی نخواهند داشت.
زنگ خطر برای جاوا
تمام این مسائل سوالی را برای هر كاربر نهایی بهوجود میآورد: آیا باید بهجای بهروزرسانی، جاوا را بكلی رها یا حتی حذف كرد؟
به هر ترتیب جاوا فریمورك خود را تحت سیستمعامل اندروید اجرا میكند و بهوسیله شركتهایی نظیر كیتریكس برای انتشار سرویسهایی مانند GoToMeeting، GoToWebinar و GoToMyPC كه از طریق مرورگر بارگذاری و اجرا میشوند مورد استفاده قرار میگیرد.
برخی متخصصان، مجازیسازی را بهعنوان یك راهحل جایگزین برای كسبوكارهایی پیشنهاد میكنند كه به استفاده از سرویسهای تحت جاوا نیاز دارند. نصب كردن آن در یك ماشین مجازی آن را از محدوده سیستمهای حیاتی و آسیبپذیر دور نگاه میدارد. كاربران خانگی بخصوص آنهایی كه روی فیسبوك و وب تمركز كردهاند ممكن است كماكان استفاده از جاوا را ترجیح دهند، ولی طرفداران HTML5 به راهحلهای دیگر آن برای در اختیار قرار دادن توابع چند رسانهای ـ كه جاوا قبلا در توسعه وب ارائه داده بود ـ اشاره میكنند.
در هر صورت سوال نگه داشتن جاوا یا حذف آن به «پروفایل ریسكپذیر شما و میزان حیاتی بودن آن سیستم» مربوط است. اگر عواقب سازش با جاوا برای شما گران تمام میشود، آن را حذف كنید.
بخش دانش و زندگی تبیان
منبع: کلیک