טרם ביצעת אימות לכתובת הדוא"ל שלך. לאימות כתובת הדואל שלך  לחצו כאן

רשימת קריאה

רשימת הקריאה מאפשרת לך לשמור כתבות ולקרוא אותן במועד מאוחר יותר באתר,במובייל או באפליקציה.

לחיצה על כפתור "שמור", בתחילת הכתבה תוסיף את הכתבה לרשימת הקריאה שלך.
לחיצה על "הסר" תסיר את הכתבה מרשימת הקריאה.

מה הבעיה של ג'אווה?

אפל, טוויטר ופייסבוק כבר נפרצו דרך באגים ב-Java והדיווחים על פרצות ממשיכים לצוץ. מומחי אבטחה מסבירים למה האקרים אוהבים אותה לאחרונה ומה אפשר לעשות

תגובות

בתקופה האחרונה תוכנת ג'אווה עולה שוב ושוב לכותרות ולא בנסיבות המחמיאות ביותר. רק אתמול הודיעה אורקל כי חסמה פירצה חדשה, אבל קודם לכן פייסבוק, טוויטר ואפל הודו כי פורצים הצליחו לחדור למחשבים בתוך החברות דרך פרצות ג'אווה. בין היתר נפגעו מחשבי מק שאפל אהבה לומר בעבר שהם חסינים בפני וירוסים.

באחד המקרים האחרונים, כשהתגלתה פרצת 0Day, כלומר כזו שאין לה עדיין טלאי אבטחה, המשרד לביטחון המולדת (הומלנד) בארה"ב המליץ לכבות את התוכנה עד שיפותח טלאי. בשנה שעברה אפל אף החליטה להסיר את ג'אווה ממחשבי מק, שבהם היא היתה מותקנת כברירת מחדל. אורקל, מפתחת הג'אווה, אכן הוציאה טלאי, אולם אחרי שהיא הוציאה אותו התגלו עוד פרצות.

ג'אווה היא שפת תכנות שפותחה במקור בידי סאן מיקרוסיסטמס, אך נמצאת כעת בפיתוחה של אורקל, לאחר שזו רכשה את סאן ב-2010. היא משמשת באינספור מכשירים, ממחשבים וטלפונים סלולריים ועד נגני בלו ריי. היא מאפשרת למפתחים לכתוב קוד שיפעל על כל מערכת שמותקנת בה ג'אווה, בין אם זו חלונות, לינוקס או אנדרואיד.

כששואלים מומחי אבטחה למה בעצם האקרים מתמקדים ב-Java, הם מסבירים כי הגל האחרון בפרצות נובע בעצם מחיפוש אחר מטרה נוחה, אחרי שמטרות פופולריות אחרות כמו חלונות של מיקרוסופט ופלאש ורידר של אדובי שיפרו את האבטחה בצורה משמעותית. "אני לא חושב שיש משהו רע במיוחד בגירסאות האחרונות של ג'אווה", הסביר ויסנסטה דיאז, אנליסט תוכנות זדוניות בכיר בחברת קספרסקי. "המורכבות היא פחות או יותר באותה רמה כמו הגירסאות הקודמות. הבעיה היא שהמתחרות (כפי שהן נתפסות כמטרות מנקודת מבט התוקף) לא כל כך מושכות בימינו. ראינו כיצד לפני ג'אווה הפלטפורמות המותקפות ביותר היו פלאש ואדובי רידר. עם זאת, שתי הפלטפורמות זכו לשיפור משמעותי באבטחה בחודשים האחרונים".

TheMarker

ג'אווה מציעה כמה יתרונות קורצים לתוקפים, אם כי כפי שדיאז אמר, הבעיה לא בהכרח  אינהרנטית לתוכנה. "ג'אווה מאפשרת הרצה של כל קוד שאתה רוצה. אתה יכול לקחת קובץ הפעלה (EXE) ולעטוף אותו במעטפת של ג'אווה, ולתוקפים זה מאוד מאוד סקסי", אמר רוני בכר, מנהל תחום סייבר ותקיפה בחברת אבנת הישראלית. "ג'אווה מאפשרת להריץ אפליקציות. הן יכולות להיות טובות, והן יכולות להיות רעות, לא חייב להיות באג בתוכנה בשביל זה. אם זה אתר שאתה צריך, והוא מבקש ממך משהו אז אתה תאשר לו להריץ ג'אווה. צריך פשוט להבין איפה אפשר להתיר לה לפעול", אמר בכר.

שניהם הסבירו כי בסופו של דבר המטרה היא להשתלט על כמה שיותר מחשבים בכמה שפחות מאמץ, וכאשר פלטפורמה מסוימת דורשת יותר ויותר משאבים, אז האקרים עוברים לפלטפורמה הבאה.

אחד היתרונות המשמעותיים בג'אווה מבחינתם הוא שהיא מאפשרת להריץ קוד על מגוון של מערכות הפעלה. "זה הופך פירצה שהתגלתה בג'אווה לפתח תקיפה פוטנציאלי נגד כל מכשיר שמשתמש במערכת", הסביר דיאז. גורם משיכה מרכזי נוסף היא התפוצה הרחבה של המערכת. לפי אתר ג'אווה, יש כיום כ-1.1 מיליארד מחשבים המריצים ג'אווה ו-3 מיליון טלפונים ניידים.

דיאז הסביר כי השילוב של כמות אדירה של מכשירים וכמה פלטפורמות מקשה על יצירת עדכונים מאובטחים. "זאת מערכת מאוד מסובכת שרצה על הרבה מכשירים, מה שמביא לכך שלא כולם תואמים לחלוטין לכל הגירסאות, ובמקרים מסוימים (כמו אצל אפל) החברות עושות שינויים בפלטפורמה (runtime machine) לפני ההפצה, מה שמוסיף רמה נוספת של עיכוב בהפצה". בכר ציין כי לעתים גם הטלאי עצמו עשוי להכיל בעיות, כפי שאכן קרה לאחרונה.

הוא הוסיף כי בגלל המורכבות ייקח זמן עד שג'אווה תגיע לרמת האבטחה של 'מתחרותיה'. בנוסף, הוא הסביר כי כאשר תוקפים מנתחים פלטפורמת תקיפה אחת, הם נוהגים למצוא כמה פרצות, ולשמור את חלקן בארסנל. "בשלב זה אנחנו חושבים שלתוקפים יש את הארסנל שלהם, והם פשוט משתמשים ו'שורפים' פרצות ומחליפים אותן כשהן מתגלות. ייקח זמן עד שאורקל תשפר את התוכנה ותיפטר מכל הבעיות האלה".

ואיך אפשר להתגונן?

שני החוקרים הסבירו שבמקרים כאלה, עדיף פשוט לכבות את ג'אווה, אם היא לא חיונית (לחצו להסברים על כיבוי), ובהרבה אתרים היא באמת לא חיונית. בנוסף כדאי לנקוט באמצעי הזהירות הרגילים כמו שמירה על אנטי וירוס מעודכן, וכמובן להיזהר לאן אתם גולשים. כאשר אתר מבקש מכם להתקין, או להפעיל ג'אווה, כדאי לוודא שמדובר באתר אמין.

באורקל הסבירו כי אינם יכולים להגיב מפני שהם נמצאים ב"תקופה שקטה".



תגובות

דלג על התגובות

בשליחת תגובה זו הנני מצהיר שאני מסכים/מסכימה עם תנאי השימוש של אתר הארץ

סדר את התגובות