Computerworld News Service: Det populære programmeringssprog Java, der er uafhængig af styresystem, kører på stort set ethvert tænkeligt elektronisk apparat såsom personlige computere, mobiltelefoner, printere, tv, dvd-afspillere, sikkerhedssystemer til hjemmet, pengeautomater, navigationssystemer, spilkonsoller og medicinsk udstyr.
Som reaktion på succesfulde Java-baserede angreb mod virksomheder såsom Twitter, Facebook, Apple og Microsoft samt fortsat frygt for 0-dagssårbarheder, der gør det muligt for angribere at køre skadelig kode på sårbare systemer via fjernadgang, har United States Computer Emergency Readiness Team udsendt adskillige sikkerhedsmeddelelser angående Java.
US-Cert er en del af National Cybersecurity and Communications Integration Center, der hører under USA's sikkerhedsministerium, Department of Homeland Security, og anbefaler i disse sikkerhedsmeddelelser, at man som bruger slår Java fra i sine browsere.
Oracle, som overtog Java i forbindelse med opkøbet af Sun, har siden udgivet en række sikkerhedsrettelser, endda nogle uden for Javas normale opdateringscyklus (det vil sige tidligere end planlagt).
Generelt er der ikke noget nyt i advarsler om potentielle trusler mod sikkerheden, og de fleste med ansvar for netværkssikkerhed anser dem da også for at være en naturlig del af det daglige arbejde.
Den normale løsning er at installere leverandørernes opdateringer og i store træk følge leverandørernes anbefalinger.
Alligevel har vi formuleret syv trin, som du kan følge for at beskytte dit netværk mod Java-baserede angreb.
De syv trin vil ikke garantere sikkerheden, men vil hjælpe til at nedsætte risikoen ved at øge opmærksomheden, hærde systemerne og reducere angrebsvektorerne.
Dette skal du gøre
1. Foretag en konsekvensanalyse
Et godt udgangspunkt er at identificere, hvor og hvordan Java anvendes både internt og eksternt af organisationen.
Producerer din organisation applikationer, der er afhængige af Java, som bruges af leverandører, klienter og/eller offentligheden?
Med mindre du allerede har arbejdet på at begrænse brugen af Java i din organisation, vil du sandsynligvis opdage, at Java er til stede i de fleste browsere, som del af styresystemet (især i visse versioner af Mac OS X) og i rigtig mange populære applikationer.
Sidstnævnte vil sandsynligvis være den største ubekendte, da enormt mange kommercielle og open source-applikationer er bygget på Java-platformen.
Begynd med at kortlægge de applikationer, der bruger Java.
Drejer det sig om applikationer, der er forretningskritiske?
For at kunne holde styr på risiciene er det nødvendigt at kende det fulde omfang af, hvor afhængig organisationen er af applikationer og platforme, der er baseret på Java.
2. Hold altid Java opdateret
Det allervigtigste er, at alle computere og mobile enheder har installeret den nyeste version af Java.
Oracle understøtter kun den nyeste version - der kommer ingen rettelser til tidligere versioner.
Hent opdateringer direkte fra Oracles website for at nedsætte risikoen for kodeinjektion.
Det er også vigtigt at afinstallere gamle versioner af Java manuelt, da installation af den nyeste version ikke nødvendigvis betyder, at ældre versioner fjernes.
Overvej at begrænse brugen af Java-baserede applikationer til virtuelle maskiner, som kan oprettes efter behov og ellers lukkes ned igen.
Du skal også være opmærksom på, at visse applikationer måske bruger ældre versioner af Java, og at de applikationer derfor måske ikke fungerer, når du har opdateret Java til nyeste version.
Hvis du har en applikation, der er afhængig af en forældet version af Java, udgør det en stor sikkerhedsrisiko. Derfor bør sådanne forældede applikationer opdateres eller erstattes.
Få ordentligt styr på indstillingerne
3. Få styr på indstillingerne i Java Control Panel
Der er mange muligheder for at indstille tingene i Java Control Panel (der er tilgængelig både på Mac- og Windows-klienter).
Det giver ret detaljeret kontrol over, hvordan Java er konfigureret på klient-computerne.
Her kan det indstilles, at man får besked om nye opdateringer eller at opdateringer automatisk downloades.
Desværre er der på nuværende tidspunkt ikke mulighed for, at opdateringer automatisk installeres på tværs af hele virksomheden.
Det betyder, at der er brug for manuel administration for at sikre, at de nyeste opdateringer er installeret.
Hvad angår sikkerhedsindstillingerne har de sidste par opdateringer af Java version 7 automatisk anvendt den høje sikkerhedsindstilling, som spørger brugeren, før der køres applets med et ikke-underskrevet eller et selvunderskrevet certifikat.
Det er anderledes end tidligere versioner af Java, der som standard havde et sikkerhedsniveau på medium. Fra Java Control Panel kan du også slå Java fra, når du ikke bruger det.
Der er dog blevet rapporteret om applets med et ikke-underskrevet eller et selvunderskrevet certifikat, som får lov at køre, uden at brugeren spørges, når Java slås til igen.
4. Hærdning af dine browsere
Slå Java fra i alle de browsere, hvor det er muligt. Hvis det af den ene eller anden grund ikke kan lade sig gøre, så overvej i det mindste at slå fjernadgang til Java-applets fra.
En løsning er at bruge en proxy-server, der blokerer Java-anmodninger via fjernadgang men tillader dem lokalt.
En anden tilgang, der anbefales af visse it-administratorer, er at bruge to forskellige browsere: En med Java slået til, som udelukkende bruges til de websites, der kræver Java, og en uden Java til al anden brug.
Det kan dog være besværligt at håndhæve overalt i virksomheden, men du kan opsætte proxy-regler, der kun giver en form for browser adgang til Java-sites, mens alle andre browsere blokeres.
Kontrol af mobile enheder
5. Kontrol af mobile enheder ved BYOD
På grund af BYOD-tendensen er det ekstra vigtigt at tage højde for de mange private bærbare og mobile enheder, medarbejderne bruger til at forbinde til virksomhedsnetværket.
Java bruges i stort omfang i mobil-apps, så det er en god idé at udvikle nogle regler i forbindelse med BYOD.
Mange nyere smartphones og tablets med Android, iOS, Windows Phone og Blackberry 10 har ikke Java indbygget.
Men Nokia 40 series og styresystemet Bada, der er udviklet af Samsung og bliver mere og mere populært, er begge baseret på Java.
Man skal også være opmærksom på, at det ikke står helt klart, om nogen af de seneste sårbarheder er til stede i Java ME (Micro Edition), da Java ME er begrænset til JRE 1.3.
Men ved at implementere regler for brug af personlige mobile enheder kan man sikre sig, at kun bestemte typer af apparater med de nyeste opdateringer har adgang til virksomhedsnetværket.
Som nævnt i introduktionen bruges Java også i en bred vifte af apparater såsom printere, sikkerhedssystemer og betalingsterminaler.
Forsøg at identificere alle apparater, der bruges i din virksomhed, der er afhængig af Java, og samarbejd med leverandørerne om at håndtere risiciene. Afhængig af din virksomheds størrelse kan det være nødvendigt at oprette en særlig arbejdsgruppe.
6. Evaluer hvordan Java påvirker virksomhedens websites og kundeportaler
Virksomheders websites er vigtige marketing-værktøjer og ofte desuden en anseelig kilde til omsætning via e-handel.
Hvis dit website bruger Java-applets, er det noget, det er på tide at ændre, da du ikke ønsker at stå med afgørende website-funktionalitet, der ikke virker hos de brugere, der har slået Java fra i deres browsere.
Hvis du har at gøre med slutbrugere fra den brede offentlighed, vil du måske støde på tilfælde, hvor det ikke alene er Java men også JavaScript, der er slået fra.
For at sikre, at dine websites er tilgængelige for så mange brugere som muligt, så brug scripts til at finde ud af, hvad der er slået til og fra, og omdiriger brugerne efter behov.
Et godt råd hvis du udvikler i Java
7. Hvis du udvikler i Java, så gør det ansvarligt
Hvis du udvikler i Java, så gør ikke problemerne værre ved at producere applikationer med certifikater, der ikke er underskrevet eller som er selv-underskrevet.
Underskriv alle applikationer ved hjælp af et troværdigt nøglecenter (på engelsk certificate authority, CA - på dansk også kaldet certifikatmyndighed) og overhold andre best practices for Java-udvikling.
For at fremme brugen af troværdige nøglecentre advarer Oracles Java 7 Update 21 mere end tidligere opdateringer brugerne om sikkerhedsrisiciene ved at køre applets, der ikke er underskrevet.
Visse tredjepartsløsninger såsom Entrust Authority Security Toolkit til Java Platform gør det muligt for Java-udviklere at føje sikkerhedsrelaterede funktioner såsom kryptering og digitale signaturer til deres applikationer.
Konklusion
Oracle har på det seneste væsentligt optrappet arbejdet med at rette fejl og sårbarheder i sine Java-platforme.
Det er dog katten efter musen, for der dukker nye angreb op allerede få timer efter udsendelsen af nye sikkerhedsopdateringer.
Denne hurtige udvikling har også andre uhensigtsmæssige konsekvenser.
Flere brugere har rapporteret, at de har været i stand til at køre ikke-underskrevne applets i Internet Explorer 9 på Windows 7, selvom Javas sikkerhedsniveau er sat til højt eller meget højt.
Andre har rapporteret problemer med ældre applikationer, der ikke kører ordentligt på de seneste opdateringer af Java 7.
Der er stor uvished med hensyn til, hvad der er den bedste retning for mange Java-platforme og -applikationer, og der er stadig bekymringer om sikkerheden.
Derfor er det i høj grad nødvendigt at være på mærkerne angående Java.
Oracle har afvist at give en kommentar til denne artikel.
Oversat af Thomas Bøndergaard
