جاوا؛ درگاهی برای افراد سودجو

شروع موضوع توسط Nazanin ‏21/10/15 در انجمن اخبار تکنولوژی

  1. Nazanin

    Nazanin Moderator عضو کادر مدیریت

    ارسال ها:
    16,244
    تشکر شده:
    60
    امتیاز دستاورد:
    38
    جاوا، زبان برنامه‌نویسی كه برای جذابیت و تعاملی‌تر كردن وب طراحی شده به یكی از ضعیف‌ترین ارتباط‌های یك رایانه درمقابل تهدیدهای خارجی تبدیل شده است. یا زمان آن فرا نرسیده است كه جاوا بهبود یابد یا استفاده از آن را متوقف كنیم؟


    fe53a72c23cd3f0ed042414d5ccca7e3.jpg


    آسیب‌پذیری‌های اخیر جاوا را در نظر بگیرید كه بتازگی توسط بدافزارها مورد سواستفاده قرار گرفته است: هنگامی كه اوراكل، سازنده جاوا، یك به‌روزرسانی اضطراری برای استوار كردن نرم‌افزار ارائه كرد، تحلیل‌های امنیتی گزارش دادند كه حتی كدهای معمولی هم نقاط آسیب‌پذیری زیادی را در خود دارند.

    ولی آخرین مشكلات امنیتی جاوا كاملا منحصر به فرد است؛ به‌گونه‌ای كه بسیاری از شركت‌های تامین امنیت، مقصر حمله‌های اخیر بدافزارها را خود جاوا می‌دانند و اعلام كرده‌اند كه دست‌كم 90 درصد كاربران، دیگر به جاوا احتیاج نخواهند داشت. درواقع بسیاری از كاربران تنها زمانی متوجه می‌شوند كه جاوا روی سیستم آنها نصب شده است كه به‌روزرسانی احتیاج پیدا می‌كنند.





    اگر شما از رایانه شخصی خود استفاده می‌كنید، هنگامی كه از شما خواسته می‌شود به‌طور مستمر ویندوز خود را به‌روزرسانی كنید، حتما احساس آزاردهنده‌ای به شما دست می‌دهد.

    طی سال‌های متمادی شركت اپل و مایكروسافت سیستم‌های حفاظتی خود را قوی‌تر كرده‌اند. سیستم‌عامل مك تقریبا در برابر آسیب‌ها ایمن شده و اپل مدت‌هاست كه دیگر دستگاه‌های خود را با جاوای از پیش نصب شده ارائه نمی‌كند. مایكروسافت نیز بعد از حمله كرم Conficker در اواخر سال 2008 یك نسخه كاملا امن برای جلوگیری از آسیب‌های سطح سیستم‌عامل تولید كرد كه بعد از آن دیگر هیچ‌یك از كرم‌ها نتوانستند به سیستم‌های ویندوزی نفوذ كنند.

    موزیلا و اوپرا نیز همانند مایكروسافت، دهه گذشته را برای مقاوم كردن مرورگرهایشان درمقابل تهاجمات به‌روزرسانی‌های پی‌درپی گذراندند. به‌عنوان مثال موزیلا 28 اگوست، 2237 خطا (كه البته همه آنها خطاهای امنیتی نبودند) را فهرست كرد كه در نسخه 15 مرورگر فایرفاكس به‌طور كامل برطرف شد.

    آخرین مشكلات امنیتی جاوا كاملا منحصر به فرد است؛ به‌گونه‌ای كه بسیاری از شركت‌های تامین امنیت، مقصر حمله‌های اخیر بدافزارها را خود جاوا می‌دانند و اعلام كرده‌اند كه دست‌كم 90 درصد كاربران، دیگر به جاوا احتیاج نخواهند داشت
    حتی اگر امنیت سیستم‌عامل و مرورگر شما توسط شركت‌های معتبر تامین شده باشد، همواره افرادی پیدا می‌شوند كه نقاط ضعف را یافته و از آنها سواستفاده می‌كنند.

    ارتباط ضعیف در زنجیره امنیت
    امروزه كه نفوذ به سیستم‌عامل و مرورگرها سخت‌تر شده است، سارقان اطلاعات، تاكتیك خود را عوض كرده و هدف خود را روی دو ارتباط ضعیف باقیمانده قرار داده‌اند: افزونه‌هایی كه از سوی افراد بیرونی در مرورگر نصب می‌شود و خود كاربران. در حالی كه افزونه‌ها ارتقا می‌یابند، جاوا به‌عنوان یك وسیله برای تهاجم‌های خودكار ـ كه اغلب به‌وسیله كیت‌های فعال‌سازی ارزان‌قیمت در فروشگاه‌های سیاه به‌فروش می‌رسند ـ مورد سواستفاده قرار می‌گیرد. سایت فوربس ماه مارس فهرستی منتشر كرد كه در آن نشان داده شده بود چه خریداران نابكاری برای دسترسی بیشتر به نقاط آسیب‌پذیر جدید هزینه پرداخت می‌كنند. بنابراین پرداخت پاداش چهل تا صد هزار دلار به كدنویسان برای ایجاد انگیزه كار كردن تمام‌وقت، منصفانه به‌نظر می‌رسد!

    بخشی كه باعث می‌شود این گونه افراد جذب جاوا شوند، حضور آن در همه‌جاست. جاوا برخلاف دیگر افزونه‌های یك مرورگر در نزدیك‌ترین قسمت به سیستم‌های عامل‌ اجرا می‌شود و درواقع برای بدافزارها بسیار به‌صرفه خواهد بود.

    c83bf3e1b29b3d14f6bf3206df78e1d1.jpg


    نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایه‌گذاری‌های خود در توسعه بدافزارها هستند و این یعنی هدف بدافزارها روی وسیع‌ترین بازار ممكن قرار دارد.



    اگرچه شركت اوراكل در مقابل این مساله موضع گرفته است، ولی جاوا این بازگشت سرمایه را برای آنها انجام می‌دهد. هنگامی كه شركت سان در 2009 توسط اوراكل خریداری شد، جاوا نیز به این شركت رسید.

    وارد كردن و نصب پچ‌های جاوا

    درست است كه اوراكل (و قبل از آن سان) به‌روزرسانی‌هایی برای بهبود مسائل امنیتی جاوا ارائه می‌كند، ولی نصب كردن آن و به‌روزرسانی‌ها در رایانه‌ها و دستگاه‌های میلیون‌ها كاربر نهایی همچنان به‌عنوان یك چالش مطرح است.



    شركت‌های امنیتی كه نرم‌افزارهای نصب شده بر رایانه‌های شخصی كاربران را دنبال می‌كنند، به‌صورت فصلی آسیب‌پذیری‌های جاوا و سرعت تثبیت آنها را گزارش می‌دهند. گزارش‌های امنیتی سه‌ماهه چهارم این شركت‌ها نشان می‌دهد كه سال 2011، اوراكل پنج آگهی رسمی مشاوره‌ای منتشر كرد كه به‌دلیل 58 آسیب موجود در جاوا به كاربران اخطار می‌داد. پچ‌ها یا به‌روزرسانی‌ها هنگام انتشار گزارش‌ها تنها در سه مورد از پنچ مورد در دسترس بودند. سال 2011 حدود 78 درصد از بدافزارها به برنامه‌های كاربردی آسیب‌پذیر یورش بردند؛ برنامه‌هایی نظیر جاوا، ادوبی فلش و آكروبات.

    جاوا برخلاف دیگر افزونه‌های یك مرورگر در نزدیك‌ترین قسمت به سیستم‌های عامل‌ اجرا می‌شود و درواقع برای بدافزارها بسیار به‌صرفه خواهد بود. نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایه‌گذاری‌های خود در توسعه بدافزارها هستند و این یعنی هدف بدافزارها روی وسیع‌ترین بازار ممكن قرار دارد
    وجود نرم‌افزاری كه روی یك رایانه نصب شده و به اینترنت متصل می‌شود، آن هم در نسخه‌های قدیمی و آسیب‌پذیر، بهترین فرصت را برای افراد سودجو فراهم می‌آورد.

    در بسیاری از موارد، قابلیت به‌روزرسانی خودكار جاوا بخوبی كار نكرده و كاربران عادی را از یاد می‌برد. حتی در ویندوز 7 نسخه 64 بیتی، جاوا و دیگر افزونه‌ها نظیر فلش، در جداسازی نسخه‌های 32 بیتی از 64 بیتی ناتوان است؛ به این معنی كه حتی اگر پچ نسخه 64 بیتی جاوا را نصب كرده باشید، تا زمانی كه یك نسخه 32 بیتی آسیب‌پذیر جاوا هنوز در سیستم وجود داشته باشد، سیستم كاملا ایمنی نخواهید داشت.

    همان طور كه قبلا اشاره شد جاوا دیگر به‌عنوان بخش نصب‌شده سیستم‌های ‌عامل معمول وجود ندارد؛ به‌صورت پیش‌فرض در لینوكس وجود ندارد و نسخه‌های اخیر ویندوز نیز آن را در خود جای نداده است. در حال حاضر نیز چند هفته بعد از حمله بدافزارها به OSX مشخص شده است كه اپل به‌روزرسانی‌های مختص به خود را برای جاوا منتشر می‌كند. این به معنی آن است كه كاربران مك برای هفته‌ها یا ماه‌ها به آخرین نسخه جاوا دسترسی نخواهند داشت.

    c52082318bf796ab8a7ebb35cdb7ef6e.jpg


    زنگ خطر برای جاوا
    تمام این مسائل سوالی را برای هر كاربر نهایی به‌وجود می‌آورد: آیا باید به‌جای به‌روزرسانی، جاوا را بكلی رها یا حتی حذف كرد؟

    به هر ترتیب جاوا فریم‌ورك خود را تحت سیستم‌عامل اندروید اجرا می‌كند و به‌وسیله شركت‌هایی نظیر كیتریكس برای انتشار سرویس‌هایی مانند GoToMeeting، GoToWebinar و GoToMyPC كه از طریق مرورگر بارگذاری و اجرا می‌شوند مورد استفاده قرار می‌گیرد.

    برخی متخصصان، مجازی‌سازی را به‌عنوان یك راه‌حل جایگزین برای كسب‌وكارهایی پیشنهاد می‌كنند كه به استفاده از سرویس‌های تحت جاوا نیاز دارند. نصب كردن آن در یك ماشین مجازی آن را از محدوده سیستم‌های حیاتی و آسیب‌پذیر دور نگاه می‌دارد. كاربران خانگی بخصوص آنهایی كه روی فیس‌بوك و وب تمركز كرده‌اند ممكن است كماكان استفاده از جاوا را ترجیح دهند، ولی طرفداران HTML5 به راه‌حل‌های دیگر آن برای در اختیار قرار دادن توابع چند رسانه‌ای ـ كه جاوا قبلا در توسعه وب ارائه داده بود ـ اشاره می‌كنند.

    در هر صورت سوال نگه داشتن جاوا یا حذف آن به «پروفایل ریسك‌پذیر شما و میزان حیاتی بودن آن سیستم» مربوط است. اگر عواقب سازش با جاوا برای شما گران تمام می‌شود، آن را حذف كنید
     
    Nazanin, ‏21/10/15
    #1