петък, 15 юни 2012 г.

Уязвимостите в Java и как да се предпазим

Java Icon


Голяма част от интернет потребителите използват така популярната Java или по-точно Java Runtime Environment (JRE), която представлява инструмент, който ви позволява да стартирате приложения написани на програмния език Java както от уеб страници, така и от външни приложения. Java Runtime Environment е дело на Sun Microsystems Inc., която беше погълната от софтуерния гигант Oracle Corporation и оттогава се развива от нея. Приложението има огромен пазарен дял, което означава, че се използва от изключително голям брой потребители по целия свят. Поради лошата си реализация, през годините в нея са открити и поправени стотици уязвимости и ще продължават да се откриват и поправят. 

Поради заниженото ниво на компютърна сигурност, потребителите рядко обновяват Java Runtime Environment и като цяло операционната система и софтуера си, с което излагат личните си данни и пароли на голяма опасност. С множеството си дупки в сигурността, JRE дава шанс на кибер престъпниците чрез експлойт (exploit) , представляващ зловреден код, който се използва от уязвимостите (като цяло във всички софтуерни продукти), за да компрометира компютърната система и да придобие контрол над нея без знанието на потребителя. На практика това означава, че с посещението на специално изградена уеб страница с инжектиран зловреден код, а през последните няколко години се наблюдава и в големи достоверни уеб портали, използвайки стара версия на JRE, системата на потребителя бива бързо инфектирана, в резултат на което се наблюдава предоставяне на достъп до системата на трето лице, кражба на потребителски имена и пароли за достъп до онлайн банкиране и други зловредни дейности. Данни на Microsoft Security Team за една година, започваща от третото тримесечие на 2010 година и завършваща през второто тримесечие на 2011 година, между една трета и една втора от всички открити експлойти са насочени срещу софтуера на Java, което показва една мрачна тенденция. Освен това, изводът от тези данни е, че ако поддържате JRE, както и останалите продукти за Java, ако имате такива, то ще сте наполовина защитени от всички налични експлойти и ще намалите сериозно риска за вашата система. Това в никакъв случай, обаче не означава, че можете да се разминете без напълно актуален антивирусен софтуер, защитна стена, обновяване на операционната система и другия наличен софтуер.

Това, което може да вземете като мерки веднага е да деинсталирате старата си версия на Java, да инсталирате последната актуална версия и да активирате автоматичното й обновление, така че повече да не се налага ръчно да вършите тази работа. От около месец насам, Oracle Corporation вече препоръчват и на средностатистическия потребител да обнови до поколение 7 на Java, който гарантира в пъти по-добра производителност и сигурност, в сравнение с поколение 6. Затова, ако разполагате с Java 6 е силно препоръчително да обновите до Java 7 и последното му обновление.

За тази цел е редно да започнете с деинсталирането на старата версия и почистването на нейните остатъци, защото дори нейни стари уязвими остатъци, биха могли да бъдат използвани за зловредни цели. Освен това, преди да започнете е необходимо да се уверите, че отговаряте на минималните системни изисквания за Java 7. Минималните системни изисквания, могат да бъдат открити на официалния уеб сайт на Java. След това започнете стъпка по стъпка:

Деинсталирайте всички Java приложения от вашата система. Как да направите това, в зависимост от вашата операционна система, можете да откриете чрез следните хипер линкове: Windows XP, Windows Vista или Windows 7. Накрая, рестартирайте компютъра си.

Сега е необходимо да почистите остатъците от старата версия на Java. Тази задача може да бъде лесно изпълнена чрез изключително функционалния и безплатен инструмент JavaRa. Можете да го изтеглите от официалния уеб сайт на SingularLabs, а след това го запазете на вашия работен плот. Разархивирайте архива и стартирайте JavaRa.exe . Необходимо е да изберете език за интерфейса и след това да потвърдите с бутона Select. Аз ще използвам английски език за описанието на следващите стъпки. От появилия се прозорец на програмата, кликнете върху бутона Remove Older Versions, с което ще стартирате процедурата по проверка на остатъци от старата ви версия. Ако бъдат открити каквито и да било, то те ще бъдат премахнати автоматично. Когато програмата приключи работата си, ще се отвори текстовия редактор Notepad, съдържащ всичко, което е било открито и премахнато от JavaRa. Текстовият файл по подразбиране се запазва в основния дял (обикновено, това е C:\), наречен JavaRa.txt . За по-напредналите потребителю чрез бутона Additional Tasks, можете да откриете допълнителните възможности на програмата.



Сега следва да изтеглите и инсталирате Java 7. Това можете да направите от официалния уеб сайт на Java. Имате и две допълнителни възможности. Това са да изтеглите Online или Offline версията на Java. Online варианта представлява няколко килобайтов инсталационен файл, който изтегля останалата част необходима за инсталирането на Java, а Offline версията е целият инсталационен файл, който е в размер на около 20 мегабайта. Този избор се прави в зависимост от скоростта на вашата интернет връзка, както и вашето лично предпочитание. Преди да стартирате инсталационния файл е важно да затворите всички отворени уеб браузъри. Самият инсталационен процес, не включва нищо по-специално, в сравнение с инсталаторите на останалите софтуерни продукти. Накрая, рестартирайте компютъра си.

След рестартирането е важно да се уверите, че имате инсталирана и работеща Java Runtime Environment на вашата система. Това може да стане като стартирате браузъра си и отидете на официалната уеб страница на Java. Уеб страницата сама ще открие дали имате работеща Java и ако има някакъв проблем, в долната й част можете да откриете съвети какво да направите.

Накрая е важно да се уверите, че Java ще се обновява. За тази цел, в зависимост от операционната ви система:

За Windows XP: Влезте в менюто Start => Settings => Control Panel => Java
За Windows Vista и Windows 7: Влезте в менюто Start => Control Panel => Programs => Java

От новопоявилия се Java Control Panel, влезте в таба Update . Срещу Notify Me: , от падащото меню можете да изберете между възможността Java да ви уведомява преди да изтегли обновлението или преди да го инсталира. Важно е да се уверите, че пред Check for Updates Automatically има отметка. От бутона Advanced... , можете в удобно за вас време да посочите колко често да бъде проверявано за обновления. Препоръчвам ви да посочите всяка седмица, защото в случай, че се появи някакво важно обновление, то вие да го получите в по-кратък срок. След като приключите с настройките, използвайте бутона OK, за да потвърдите желанието си, а накрая с Apply, за да го приложите веднага. 


Това са всички базови стъпки, които е необходимо всеки един интернет потребител да предприеме, за да се защити от нарастващите опасности в дигиталния свят. Ако имате някакви въпроси или проблеми, ще се радвам да мога да помогна.