Krebs jednak miał rację - ja wywalam Javę

Gdy Brian Krebs, jeden z bardziej cenionych przeze mnie speców ds. bezpieczeństwa, obwieścił przed rokiem, że Java jest zbyt dziurawa, by z niej korzystać na co dzień, pomyślałem, że facet jednak trochę przesadza. Bezpieczeństwo bezpieczeństwem, ale nie popadajmy w paranoję – myślałem sobie. Okazuje się jednak, że Krebs miał rację, a jego apel jest dziś nawet bardziej aktualny niż 12 miesięcy temu.  W Javie wykryto niedawno kolejną bardzo poważną lukę bezpieczeństwa, dzięki której „napastnik” może zrobić z atakowanym systemem co tylko zapragnie. Czy w tej sytuacji warto ryzykować posiadanie Javy? Z jej dziurami, niestabilnością i ogólną mułowatością? Nie wydaję mi się…  

Pisałem już o tym kilkakrotnie, ale powtórzę – współczesne systemy operacyjne są już całkiem nieźle zabezpieczone i cyberprzestępcom naprawdę trudno się do nich dobrać. W tej sytuacji mogłoby się wydawać, że czasy automatycznie propagujących się wirusów czy luk, przez które można zaatakować system bez wiedzy użytkownika, dawno już minęły. Niestety, okazuje się, że nie minęły – na takie „atrakcje” wciąż mogą liczyć np. użytkownicy Javy. Czyli… prawie wszyscy użytkownicy komputerów.

W Javie znaleziono lukę, która pozwala nieautoryzowanemu użytkownikowi… właściwie na wszystko. Odpowiednio wykorzystana luka umożliwia m.in. uruchomienie w systemie dowolnego kodu z uprawieniami aktualnie zalogowanego usera – czyli, w konsekwencji, przejęcie pełnej kontroli nad systemem (jeśli zalogowanym użytkownikiem jest administrator, co np. w Windows jest zwykle standardem).

Co ważne, taki atak jest zupełnie niewidoczny dla użytkownika – złośliwy kod może zaatakować np. przez przeglądarkę internetową (a dokładniej – można go ukryć np. w aplecie Java osadzonym na stronie WWW) i nie będzie żądał żadnej zgody na instalację, a przeglądarka nie wyświetli informacji o potencjalnym zagrożeniu. Wystarczy otworzyć taką stronę i… już, komputer jest przejęty przez cyberprzestępców.

Na tym atrakcje się nie kończą, bo problem dotyczy praktycznie wszystkich wersji platformowych Javy – od Windows, przez Linuksa, aż po Mac OS X. Ekipa odpowiedzialna za rozwijanie popularnego pakietu narzędzi hakerskich Metasploit przeprowadziła testy podatności popularnego oprogramowania – w praktycznie wszystkich przypadkach przeglądarki uruchomiły złośliwy kod bez żadnego pytania czy komunikatu (wyjątkiem był Google Chrome, który wyświetlił standardowy alert o nieaktualnej wersji Javy – ale i tak pozwolił na uruchomienie apletu).

Sprawa jest naprawdę poważna, bo o takich błędach użytkownicy komputerów mogli już właściwie zapomnieć – w Windows i innych systemach wciąż znajdowane są oczywiście kolejne luki, ale same OS-y są już na tyle dobrze zabezpieczone, że przeprowadzenie ataku przez dziurę nie jest takie proste.

Zauważyliście, że zdecydowana większość nowego złośliwego oprogramowania (szczególnie tworzonego z myślą o nowych wersjach Windows) działa niczym słynny „albański wirus” – zwykle trzeba je samodzielnie pobrać, zainstalować itp? Przestępcy przestawili się na socjotechnikę – pod różnymi pretekstami próbują nakłaniać użytkowników do uruchamiania złośliwych plików. Czasy oprogramowania automatycznie atakującego Windows powoli się kończą – owszem, taki wirusy czy robaki wciąż się pojawiają, ale zwykle wykorzystują luki w oprogramowaniu firm trzecich – Adobe Readerze, Flash Playerze, QuickTime’ie czy właśnie Javie.

Dobra wiadomość jest taka, że na opisaną powyżej lukę w Javie jest już poprawka – w listopadzie udostępnił ją zarówno Oracle (który obecnie jest odpowiedzialny za rozwijanie Javy), jak i Apple (który dostarcza poprawki dla Javy użytkownikom Mac OS X). Praktyka pokazuje jednak, że choć większość użytkowników stara się na bieżąco instalować poprawki dla Windows czy przeglądarki internetowej, to mało kto zawraca sobie głowę łataniem Javy, Adobe Flash Playera czy innych popularnych, acz transparentnych dla użytkownika aplikacji.

Wniosek z tych przydługich wywodów jest taki – jeśli koniecznie musisz korzystać z Javy, bardzo dbaj o to, by mieć najnowszą wersję. Tyle, że to wcale niekoniecznie musi ochronić cię przed atakiem w przyszłości, bo w oprogramowaniu tym znaleziono w ciągu ostatnich miesięcy kilka całkiem poważnych luk zero-day (czyli takich, które zostały upublicznione, zanim producent przygotował poprawkę) i pewnie będzie ich więcej. Dlatego może lepiej byłoby jednak posłuchać Krebsa i zrezygnować z Javy? Cztery dni temu zacząłem pewien eksperyment – usunąłem ją z systemu na „pracowym” komputerze i sprawdziłem, ile razy tak naprawdę będzie mi potrzebna. Okazało się, że… raz – tylko jednokrotnie pojawił się monit o pobranie Javy (ale z tym mogę żyć – tym bardziej, że to co miałem do zrobienia za pomocą Javy można było zrobić w inny sposób).

A jeśli z jakiegoś powodu ktoś uważa, że bez Javy jednak żyć nie może, polecam rozwiązanie zasugerowane przez Briana Krebsa – zainstaluj sobie w systemie drugą przeglądarkę, i do niej doinstaluj wtyczkę Javy. Niech to nie będzie domyślna przeglądarka – używajcie jej wyłącznie do tych nielicznych operacji, do których  Java jest koniecznie i niezbędnie potrzebna. I tyle. Może będzie to nieco mniej komfortowe rozwiązanie, ale na pewno będzie bezpieczniejsze.

Zaktualizowaną wersję Javy pobrać można tutaj (odporne na atak są tylko wersje Java 6 Update 29 oraz Java 7 Update 1).