Java un tās drošība

java
Attēla autors mrjoro
Saskaņā ar Java izveidotājas kompānijas Oracle datiem, šobrīd Java RE tiek lietota uz vairāk kā 850 miljoniem personālo datoru visā pasaulē. Pie tam, kopumā vairāk kā miljards ierīču, ieskaitot mobilos telefonus un TV aparātus, izmanto šo virtuālo mašīnu. Kas tad īsti ir Java? Principā Java ir programmēšanas valoda, kurā var tikt izveidotas visdažādākās aplikācijas. Tomēr Java RE (Runtime Environment), kas ir atrodama uz neskaitāmiem datoriem, ir kaut kas nedaudz cits - tā ir virtuālā mašīna, kurā tiek darbinātas visas programmas, kas veidotas Java vidē. Java RE tiek lietota uz mūsu datoriem, lai interneta vidē varētu apskatīt un lietot tās aplikācijas, kas rakstītas Java vidē. Tomēr jāsaka, ka šāda Java izmantošanas nepieciešamība, salīdzinot ar agrākiem laikiem, ir samazinājusies. Šobrīd pastāv iespēja, ka parasts interneta lietotājs nemaz ikdienā nesaskaras ar Java aplikācijām, tātad arī vajadzību lietot šo Java RE. Pirms turpinām runāt par Java, jāpiebilst, ka nevajadzētu to sajaukt ar JavaScript. Kaut arī nosaukumi ir līdzīgi un pastāv arī dažas citas līdzības, tās ir divas atšķirīgas lietas. Kamēr Java platformā programmētas aplikācijas var pastāvēt pašas par sevi, JavaScript ir piesaistīts HTML videi un tam ir tikai papildinoša funkcija.

Kāpēc ir jārunā par Java?

Internetā var lasīt neskaitāmus rakstus par Java ievainojamībām. Ievainojamība jeb drošības caurums ir ceļš, caur kuru nevēlama persona vai, piemēram, automatizēts meklētājs, var attālināti uzlauzt Jūsu datora sistēmu. Caurumu izmantošanas mērķi var būt dažādi – kaitīgās programmatūras ievietošana, failu vai datu pievienošana, nosūtīšana un dzēšana, vai arī datora padarīšana par robotu tīkla sastāvdaļu (vairāk rakstā „Robotu tīkls jeb „zombiju armija”). Mūsdienās inficēšanās caur Java ievainojamībām ir viens no populārākajiem inficēšanās veidiem. Ja viss norit pareizi, lietojot Java aplikācijas internetā, tām uz datora būtu jādarbojas tikai šajā virtuālajā Java mašīnā. Tomēr brīdī, kad Java atklāta ievainojamība, aplikācija var „izkļūt ārā” no sev atvēlētās vides un sākt darboties jau operētājsistēmas līmenī. Šādā gadījumā, ja izmantotajā Java aplikācijā ir pievienots ļaundabīgs kods, Jūsu dators var tikt inficēts. Diemžēl pilnībā izvairīties no iespējas šādā veidā inficēties nevar arī tad, ja lietojat tikai lapas, kuras uzskatāt par drošām. Ļaundari izmanto speciālus paņēmienus (Exploit kits), lai pārvirzītu mājas lapas apmeklētājus . Uzbrukums tiek izpildīts pret šo lietotāju interneta pārlūkprogrammas un tās paplašinājumu ievainojamībām, pašiem lietotājiem par to pat nenojaušot.

Uzbrukumi Java platformai

Attēls1 Attēlā var apskatīt Kaspersky Lab veikto statistikas apkopojumu par to, cik uzbrukumi izdarīti caur programmatūrām, izmantojot to ievainojamības. Dati apkopoti par 2012.gadu. Diagrammā parādīts procentuāls sadalījums starp dažādām programmatūrām un var redzēt, ka uzbrukumi Oracle Java ir tik pat daudz, cik visām citām programmatūrām kopā. Oracle kompānija parasti izlaiž atjauninājumus reizi ceturksnī, kas nozīmē, ka pastāv iespēja, ka trīs mēnešus attiecīgas Java ievainojamības ir neaizlāpītas. 2012. gadā plaši tika runāts par uzbrukumiem caur kādu Java ievainojamību. Šie uzbrukumi ievērību izpelnījās ne tikai ar neskaitāmo upuru skaitu, bet arī ar to, ka inficēti tika datori gan ar Windows, gan Mac OS un Linux operētājsistēmām. Šoreiz gan Oracle reaģēja ātri un izlaida jaunu Java versiju, kurā šī ievainojamība bija novērsta. Tomēr arī šādā situācijā ir jābūt piesardzīgiem - tai pašā laikā uzbrucēji bija izveidojuši it kā vēl jaunāku versiju un izvietojuši to internetā (oriģinālā versija 7.10, uzbrucēju – 7.11). Daudzi, kas, dzirdot par uzbrukumiem Java, steidzīgi meklēja jaunākos atjauninājumus, lejupielādēja tieši šo inficēto versiju. Šis gadījums parāda, ka attiecībā uz Java, par drošību jādomā ne tikai Windows lietotājiem. Turklāt kā vienmēr jāatceras, ka programmatūru drīkst lejuplādēt tikai no oficiālām mājas lapām!

Javas atjaunināšana

Java nav izmantojama kā parasta programmatūra, kuru diendienā atveram un lietojam. Tādēļ daudzi, iespējams, pat neapzinās, ka viņiem uz datora tā ir atrodama un tiek izmantota. Un, to neapzinoties, arī netiek justa vajadzība to atjaunināt. Lai pārbaudītu, vai Jums uz datora ir Java un kāda ir tās versija, var izmantot šo mājas lapu, http://www.java.com/en/ , spiežot uz vārdiem „Do I have Java?” (uzspiežot tiks izvadīta informācija par esošo versiju, kāda ir uz Jūsu datora, un ieteikums to atjaunināt uz jaunāko pieejamo, ja tāda Jums vēl nav), vai doties uz http://www.java.com/en/download/testjava.jsp. Diemžēl, lai arī Java uzturētāji Oracle bieži veido atjaunotas versijas, kā arī ātri reaģē uzbrukumu gadījumos, ar to vien nepietiek. Protams, ja lietojat Java, ir nepieciešams regulāri atjaunināt to, taču tas tikai nedaudz samazināt, nevis novērsīs iespējamos draudus.

Kā rīkoties?

Populārākais ieteikums, ko var dzirdēt attiecībā uz Java – ja Jums nav nepieciešamība to lietot, noteikti atslēdziet to! Ja senākās Java versijās to izdarīt bija diezgan sarežģīti, tad tagad tas ir pavisam vienkārši. Tomēr, ja Jums tiešām ir nepieciešams izmantot mājas lapas, kurās tiek pieprasīta aktivizēta Java, visdrošāk būtu izmantot divas dažādas interneta pārlūkprogrammas. Vienā, kura tiek izmantota parastām darbībām internetā, nobloķējiet Java. Otru pārlūkprogrammu, kurā Java ir aktivizēta, izmantojiet tikai nepieciešamo mājas lapu apskatei. Tāpat atcerieties regulāri atjaunināt Java, un tās jaunākās versijas lejupielādēt tikai oficiālajā mājas lapā http://java.com/en/download/index.jsp.

Kā atspējot Java interneta pārlūkprogrammām?

Šī instrukcija attiecas uz Java versijām  7.0, 7u10+
  1. Atrodiet Java kontroles paneli – Windows XP – Ejiet caur „Start” un spiediet uz „Control Panel”. Tad spiediet uz Java ikonas un Jūs nokļūsiet Java kontroles panelī. Windows 7, Vista – Ejiet caur „Start” un spiediet uz „Control Panel” Kontroles paneļa meklētāja ierakstiet „Java Control Panel”. Tad spiediet uz Java ikonas un Jūs nokļūsiet Java kontroles panelī. Windows 8 – Spiediet uz Windows logo kopā ar taustiņu W, lai atvērtu meklēšanas logu. Meklētājā ierakstiet „Java Control Panel”. Tad spiediet uz Java ikonas un Jūs nokļūsiet Java kontroles panelī. Mac OS X 10.7.3 un jaunākas versijas – Spiediet uz Apple ikonas, ejiet uz „System Preferences”, spiediet uz Java ikonas un Jūs nokļūsiet Java kontroles panelī.
  2. Pēc tam, kad ir atvēries „Java control Panel”, ejiet uz sadaļu „Security”. Izņemiet ķeksīti no „Enable Java content in the browser”. Spiediet „Apply” un pārlādējiet pārlūkprogrammu, lai tiktu veiktas izmaiņas.Attēls2
  3. Vairākas pārlūkprogrammas piedāvā iespēju atspējot Javu tieši tajās.

    Chrome – Ejiet uz Chrome izvēlni un spiediet uz „Settings”. Lapas apakšā spiediet „Show advanced setting” un tad pie „Privacy” sadaļas meklējiet „Content Settings”. Meklējiet „Plug-ins” sadaļu un spiediet uz „Disable individual plug-ins”.  Sadaļā  „Java”  spiediet uz „Disable”. Firefox – Ejiet uz Firefox izvēlni un spiediet uz „Add-ons”. Tālāk izvēlieties „Plugins”  un „Java™ Platform”. Spiediet uz „Disable”. Safari – Ejiet uz Safari „Preferences” un izvēlieties „Security” sadaļu. Izņemiet ķeksīti no sadaļas „Enable Java”.

Secinājumi

Agrāk plaši izmantotā un nepieciešamā Java platforma mūsdienās savu nozīmi ir zināmā mērā zaudējusi. Turklāt, ja internetā parādās ziņas par Java, tās parasti ir saistībā ar ievainojamībām un uzbrukumiem tai. Tādēļ noteikti ir vērts padomāt, vai ir vērts ļaut šai Java virtuālajai mašīnai apdraudēt Jūsu datora drošību.