محققان امنیت رایانه چندین روش برای محافظت کامپیوتر ها برای در امان ماندن حملاتی که حفره امنیتی کشف شده جدید Java Runtime Environment را هدف قرار داده اند ،پیشنهاد کرده اند.
بسیاری از این روش ها نقایص خاص خود را داشته و تنها در محیط ها و سیستم های خاص قابل به کارگیری هستند. گرچه امید است در نبود یک بسته به روز رسانی رسمی از سوی اوراکل ، کاربران بتوانند از یک یا ترکیبی از این روش ها برای کاهش ریسک و خطرپذیری سیستم شان در برابر حملات بهره گیرند.
محققان موسسه امنیتی FireEye ، یکشنبه حفره امنیتی جدیدی را در جاوا معرفی کرده و اعلام داشتند که در چندین حمله از آن بهره گرفته شده است.
نمونه عملی این تهدید چند روز بعد به صورت آنلاین پدیدار شده و در Metasploit ، یک ابزار تست امنیتی کدباز که توسط بسیاری از متخصصین امنیتی استفاده می شود ، به کار گرفته شد.
حفره جدید در سطح بحرانی و بسیار خطرناک رده بندی شده و می تواند برای اجرای بدافزارها و کدهای مخرب تنها با یک بار بازدید از صفحات وب آلوده و فعال بودن افزونه جاوا سیستم را آلوده سازد.
تنها توصیه هایی که بسیاری از متخصصین فناوری اطلاعات برای در امان بودن سیستم کاربران ، به آن ها توصیه می کنند ، حدف جاوا و یا حداقل غیرفعال کردن افزونه نصب شده در مرورگرهاست.
این روش احتمالا موثرترین روش برای کاهش ریسک آلودگی از طریق حفره امنیتی جدید جاوا و یا حفره های مشابهی است که ممکن است در آینده ای نزدیک کشف شوند.
البته این روش نقایص عمده ای هم دارد که بزرگترین آن ها را می توان به محیط هایی مربوط دانست که نرم افزارهای تحت وب مبتنی بر جاوا برای کار آن ها ضروری است.
چستر وینسنیوسکی ، یکی از مدیران امنیتی ارشد سوفوس که یکی از تولید کننده های مطرح آنتی ویروس است می گوید: بسیاری از کاربران به جاوا هیچ نیازی ندارند اما برخی نیز برای انجام کارهای ضروری شان باید از آن استفاده کنند. در محیط های تجاری شاید بتوانید جلوی اجرای JavaW.exe را بگیرید و تنها به آن اجازه اجرای محتویات خاص و از آدرس های IP معتبر را بدهید.
راهکار دیگری که توسط ولفانگ کاندک یکی از مدیران شرکت امنیتی Qualys مطرح شده استفاده از مکانیزم مبتنی بر Zone در نرم افزار اینترنت اکسپلورر برای محدود کردن سایت هایی است که امکان اجرای محتویات جاوا به آن ها داده می شود.
کاربران می توانند استفاده از جاوا در اینترنت را با تغییر مقدار 1C00 به 0 در آدرس HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3 و اجازه دادن به اجرای محتویات جاوا تنها در بخش Trusted کنترل کنند.
در همین حال ، کاربران Google Chrome و Mozilla Firefox هم می توانند با فعال کردن قابلیت Click-to-Play که امکان مسدود سازی اجرای افزونه ها را پدید آورده و از کاربر در هر بار اجرای آن ها درخواست مجوز می کند ، از امکان مشابهی استفاده کنند.
Chrome از مدت ها پیش از Click To Play پشتیبانی کرده و فعالسازی آن به آسانی از طریق منوی Advanced Setting قابل انجام است. گرچه در فایرفاکس این قابلیت هنوز به صورت رسمی عرضه نشده است و برای فعال کردن آن باید در نسخه های 14 به بعد این مرورگر ، با تغییر مقدار plugins.click_to_play flag به True در رابط about:config این کار را انجام دهید.
افزونه امنیتی معروف و محبوب NoScript هم عمل مشابهی را انجام داده و صد البته افزونه های مشابه بسیاری را می توانید برای فایرفاکس یافته و دانلود کنید.
Click To Play به صورت خودکار این حفره را مسدود می کند اما سبب نمی شود تا کاربران به صورت سهوی و در هنگام نمایش پیغام برای اجرای محتویات جاوا ، دچار اشتباه نشوند. بنابراین ، ریسک آلوده شدن تنها به سطح تصمیم گیری کاربر کاهش می یابد.
روش دیگر مبتنی بر کاربر برای کاهش ریسک در برابر محتویات آلوده جاوا ، استفاده از مرورگری با غیرفعال بودن جاوا برای وبگردی و بازدید از سایت های عمومی و مرورگر دیگری برای دسترسی به صفحات وبی با محتویات جاوای مورد اطمینان است.
تحمیل چنین روشی به کاربران در محیط های تجاری و کاری بسیار دشوار است. گرچه این روش می تواند برای کاربران محتاط که نیاز به دسترسی به محتویات جاوا در شرایط خاص و صفحات خاص دارند ، بسیار موثر باشد.
و در آخر می توانید از یک بسته به روز رسانی غیر رسمی که توسط مایک شیرل ، یک کارشناس امنیتی که پیشتر هم حفره های امنیتی دیگری را در جاوا کشف کرده است ، عرضه کرده و دیگرانی چون آندره دی مینو و میلا پارکور از DeepEnd هم به صورت مستقل عرضه کرده بودند ، استفاده کنید.
این بسته نرم افزاری حفره امنیتی کشف شده را در برابر حملاتی که تا به حال دیده شده اند امن کرده است اما سازنده آن تضمین نمی کند که تمامی بهره برداری ها و سوء استفاده های آتی از این حفره امنیتی را در آینده تضمین کند.
این بسته امنیتی تنها برای مقاصد تست و به صورت غیر رسمی عرضه شده است و سبب نخواهد شد تا نرم افزارهای مجاز پس از به کارگیری آن ، از کار باز ایستند. به همین دلیل دی مینو و پارکور آن را تنها در اختیار شرکت هایی قرار می دهند که به آن ها ایمیل زده و دلایل نیاز خود را به وضوح توضیح دهند.
اگر بخواهیم منطقی در مورد تمامی این روش ها اظهار نظر کنیم باید گفت که هیچ یک از آن ها به صورت عام قابل استفاده و کاربردی نیست.
استفن کُب ، یکی از کارشناسان متخصص و خبره شرکت ESET ، می گوید: انتخاب مناسب ترین استراتژی به وضع امنیتی سازمان شما و میزان استفاده شما از جاوا در نرم افزارهای اساسی تان بستگی دارد. ویژگی های این رویکردها استفاده از آن ها برای تمامی موقعیت ها را غیر ممکن می سازد.
بسیاری از متخصصین امنیتی از جمله وینیوسکی و کُب بر این باورند که اوراکل باید دوره زمانی چهار ماهه برای ارائه به روز رسانی ها را شکسته و هر چه زودتر به رفع حفره امنیتی کشف شده اقدام کند. اگر این زمانبندی رعایت شود ، موعد عرضه دوره بعدی به روز رسانی محصولات اوراکل در اکتبر خواهد بود.