Video: Cara mengaktifkan akun yang di nonaktifkan Google tanpa ada notifikasi penonaktifan. (Oktober 2024)
Java sedang diserang.
Tidak hanya dari topi hitam yang membuat unduhan drive-by, lampiran jahat, dan serangan lain yang mengeksploitasi kerentanan dalam teknologi, tetapi juga dari topi putih yang berpendapat bahwa pengguna tidak boleh menggunakannya sama sekali. Bahkan setelah Oracle menambal batch terbaru dari kerentanan nol hari di Jawa, Tim Kesiapan Darurat Komputer Departemen Keamanan Dalam Negeri (US-CERT) merekomendasikan pengguna mematikan Jawa.
Sama seperti Adobe's Flash, Java adalah target populer karena basis instalasinya yang sangat besar. Jika Anda benar-benar tidak menggunakan situs web yang membutuhkan Java, silakan dan buang. Kami bahkan memiliki serangkaian instruksi yang bagus tentang cara menonaktifkan Java di dalam browser Anda.
Tapi saya menggunakan Java!
Lalu, ada sebagian dari kita yang benar-benar menggunakan Java secara teratur.
"Saya ragu bahwa siapa pun yang memperhatikan saran keamanan menjalankan Java, IE 6/7/8, et. Al. Karena mereka ingin - kita menjalankan semua ini karena kita harus, dan keputusan berada di luar kendali kita, " guru keamanan Jack Daniel menulis di Uncommon Sense Security.
Ketika saya melihat sekeliling untuk melihat aplikasi apa yang menggunakan Java, saya menyadari banyak aplikasi desktop yang sesuai dengan tagihan, termasuk alternatif Office, ThinkFree Office, LibreOffice, dan OpenOffice, serta game populer seperti Minecraft. Beberapa aplikasi Adobe juga memerlukan Java untuk menjalankan komponen tertentu. Tidak ada yang perlu dikhawatirkan, karena ini adalah aplikasi Java mandiri, dan bukan aplikasi yang berjalan di dalam browser Web.. Jika Anda mengikuti petunjuk langkah demi langkah kami, Anda menonaktifkan Java hanya di browser. Aplikasi lokal akan tetap berjalan dengan baik.
Namun ternyata ada banyak situs game dan bisnis yang masih menggunakan Java. Layanan perbankan khusus, seperti Citi Private Bank, yang menggabungkan investasi dan perbankan tradisional ke dalam satu rekening, tampaknya menjadi salah satu contoh. Layanan cloud seperti alat upload file massal Power Box.net dengan Java. Citrix dan Cisco sama-sama menawarkan produk VPN VPN tanpa klien, yang memungkinkan pengguna membuat terowongan VPN aman dan akses jarak jauh menggunakan browser Web yang mendukung Java.
Apakah Anda pelajar? Kemungkinannya adalah sekolah Anda menggunakan Blackboard, yang memerlukan versi terbaru dari plugin Java untuk mengunggah file dan lampiran, menggunakan fitur obrolan real-time Virtual Classroom, dan untuk mengaktifkan fitur interaktif tertentu pada platform.
Pogo.com dan KidsPlayPark.com menawarkan game Java online. Banyak pengguna Pogo, khawatir tentang ancaman terbaru, tampaknya telah mengganti Java 7 dengan Java 6 (yang tidak akan didukung Oracle setelah Februari), menurut posting di forum pengguna. Asal tahu saja, itu ide yang sangat buruk. Ada banyak serangan yang menargetkan perangkat lunak usang; tidak perlu mengambil risiko serangan yang berbeda sama sekali hanya untuk menghindari panen terbaru.
Apa Alternatif untuk IT?
"Jika Anda memiliki aplikasi bisnis penting yang memerlukan Java: cobalah untuk mencari penggantinya, " tulis Johannes Ullrich dari SANS Institute di blog Internet Storm Center minggu lalu.
Platform konferensi web tampaknya menjadi penghalang terbesar. Cisco WebEx dan Citrix GoToMeeting dulu membutuhkan Java, tetapi kedua platform baru-baru ini memodifikasi aplikasi mereka untuk menggunakan versi yang berbeda jika tidak dapat menemukan Java. Citrix mengatakan sedang dalam proses menghapus seluruh Jawa. Namun, yang lain di ruang angkasa, termasuk MeetingBurner dan Brother's OmniJoin, masih menggunakan Java. Join.me, ClickMeeting dan ReadyTalk berbasis Flash.
Meskipun alat akses jarak jauh dulunya didominasi berbasis Java, ada banyak daftar alternatif yang dapat digunakan untuk dukungan teknis, Chet Wisniewski, penasihat keamanan untuk Sophos, mengatakan kepada SecurityWatch . Klien desktop jarak jauh juga dibangun di Mac OS X dan Windows.
"Untuk mendukung Ibu dan Ayah saya, saya menggunakan versi gratis LogMeIn, " katanya. LogMeIn Gratis menggunakan ActiveX.
Bagaimana Jika Saya Tidak Bisa Beralih?
Bagi banyak bisnis, "tidak ada alternatif, " Thomas Kristensen, CSO dari Secunia, mengatakan kepada SecurityWatch . Meskipun dimungkinkan untuk mengganti beberapa aplikasi, secara umum, administrator perlu menemukan cara lain untuk melindungi karyawan mereka. Salah satu cara untuk mengurangi permukaan serangan adalah dengan mengaktifkan Java hanya untuk mereka yang benar-benar membutuhkannya dan menonaktifkannya untuk semua orang, kata Kristensen.
Alih-alih memberitahu karyawan untuk berhenti menggunakan Java, organisasi harus fokus pada "bungkus gelembung" untuk melindungi pengguna, kata Anup Ghosh dari Invincea kepada SecurityWatch . Pengguna dapat menjelajahi Web melalui browser virtual, dan jika mereka menemukan situs jahat, secara tidak sengaja membuka file yang terjebak, atau mencoba mengunduh malware, lingkungan virtual akan memblokir serangan agar tidak berjalan di mesin yang sebenarnya. Browser virtual kedua ditutup, serangan dihapus. Dan yang terbaik dari semuanya, peramban virtual akan melindungi Anda dari berbagai ancaman yang lebih luas, bukan hanya yang berbasis Java.
Pengguna dapat mengadopsi sistem dua browser. Jika Anda biasanya menjelajah Web dengan Firefox, misalnya, pertimbangkan untuk menonaktifkan plugin Java di Firefox. Kemudian, aktifkan Java di peramban alternatif seperti Chrome, IE9, Safari, dll., Dan jelajahi hanya ke situs yang membutuhkan Java dan tidak pernah untuk penjelajahan Web secara umum.
"Yang terbaik adalah mengaktifkan Java dalam satu browser dan hanya menggunakan browser itu untuk situs web yang tidak akan berfungsi tanpanya, " kata Wisniewski.
Penyerang suka mengubah target - Flash, Internet Explorer, Adobe Reader. "Setiap orang memiliki hari nol pada satu waktu atau yang lain, " tulis Rob VandenBrink dari Metafore di Internet Storm Center.
Menonaktifkan Java hanyalah salah satu cara untuk mempertahankan diri dari ancaman Web, tetapi bukan solusi universal. Organisasi dapat membatasi pemaparan mereka dan mengadopsi praktik keamanan, seperti pemfilteran web dan membuat pengguna dijalankan dengan hak istimewa terbatas, untuk memblokir serangan, katanya.
"Berhenti menunjuk dan membuat rekomendasi selimut yang tidak bisa diikuti, " tulis VandenBrink.
Untuk informasi lebih lanjut dari Fahmida, ikuti dia di Twitter @zdFYRashid.
