درگاهی برای افراد سودجو

ولی آخرین مشکلات امنیتی جاوا کاملا منحصر به فرد است؛ به‌گونه‌ای که بسیاری از شرکت‌های تامین امنیت، مقصر حمله‌های اخیر بدافزارها را خود جاوا می‌دانند و اعلام کرده‌اند که دست‌کم 90 درصد کاربران، دیگر به جاوا احتیاج نخواهند داشت. درواقع بسیاری از کاربران تنها زمانی متوجه می‌شوند که جاوا روی سیستم آنها نصب شده است که به‌روزرسانی احتیاج پیدا می‌کنند.

اگر شما از رایانه شخصی خود استفاده می‌کنید، هنگامی که از شما خواسته می‌شود به‌طور مستمر ویندوز خود را به‌روزرسانی کنید، حتما احساس آزاردهنده‌ای به شما دست می‌دهد.

طی سال‌های متمادی شرکت اپل و مایکروسافت سیستم‌های حفاظتی خود را قوی‌تر کرده‌اند. سیستم‌عامل مک تقریبا در برابر آسیب‌ها ایمن شده و اپل مدت‌هاست که دیگر دستگاه‌های خود را با جاوای از پیش نصب شده ارائه نمی‌کند. مایکروسافت نیز بعد از حمله کرم Conficker در اواخر سال ۲۰۰۸ یک نسخه کاملا امن برای جلوگیری از آسیب‌های سطح سیستم‌عامل تولید کرد که بعد از آن دیگر هیچ‌یک از کرم‌ها نتوانستند به سیستم‌های ویندوزی نفوذ کنند.

موزیلا و اوپرا نیز همانند مایکروسافت، دهه گذشته را برای مقاوم کردن مرورگرهایشان درمقابل تهاجمات به‌روزرسانی‌های پی‌درپی گذراندند. به‌عنوان مثال موزیلا ۲۸ اگوست، ۲۲۳۷ خطا (که البته همه آنها خطاهای امنیتی نبودند) را فهرست کرد که در نسخه ۱۵ مرورگر فایرفاکس به‌طور کامل برطرف شد.

حتی اگر امنیت سیستم‌عامل و مرورگر شما توسط شرکت‌های معتبر تامین شده باشد، همواره افرادی پیدا می‌شوند که نقاط ضعف را یافته و از آنها سواستفاده می‌کنند.

امروزه که نفوذ به سیستم‌عامل و مرورگرها سخت‌تر شده است، سارقان اطلاعات، تاکتیک خود را عوض کرده و هدف خود را روی دو ارتباط ضعیف باقیمانده قرار داده‌اند: افزونه‌هایی که از سوی افراد بیرونی در مرورگر نصب می‌شود و خود کاربران. در حالی که افزونه‌ها ارتقا می‌یابند، جاوا به‌عنوان یک وسیله برای تهاجم‌های خودکار ـ که اغلب به‌وسیله کیت‌های فعال‌سازی ارزان‌قیمت در فروشگاه‌های سیاه به‌فروش می‌رسند ـ مورد سواستفاده قرار می‌گیرد. سایت فوربس ماه مارس فهرستی منتشر کرد که در آن نشان داده شده بود چه خریداران نابکاری برای دسترسی بیشتر به نقاط آسیب‌پذیر جدید هزینه پرداخت می‌کنند. بنابراین پرداخت پاداش چهل تا صد هزار دلار به کدنویسان برای ایجاد انگیزه کار کردن تمام‌وقت، منصفانه به‌نظر می‌رسد!

بخشی که باعث می‌شود این گونه افراد جذب جاوا شوند، حضور آن در همه‌جاست. جاوا برخلاف دیگر افزونه‌های یک مرورگر در نزدیک‌ترین قسمت به سیستم‌های عامل‌ اجرا می‌شود و درواقع برای بدافزارها بسیار به‌صرفه خواهد بود. نویسندگان بدافزارها خواهان بیشترین بازگشت سرمایه از سرمایه‌گذاری‌های خود در توسعه بدافزارها هستند و این یعنی هدف بدافزارها روی وسیع‌ترین بازار ممکن قرار دارد.

اگرچه شرکت اوراکل در مقابل این مساله موضع گرفته است، ولی جاوا این بازگشت سرمایه را برای آنها انجام می‌دهد. هنگامی که شرکت سان در ۲۰۰۹ توسط اوراکل خریداری شد، جاوا نیز به این شرکت رسید.

درست است که اوراکل (و قبل از آن سان) به‌روزرسانی‌هایی برای بهبود مسائل امنیتی جاوا ارائه می‌کند، ولی نصب کردن آن و به‌روزرسانی‌ها در رایانه‌ها و دستگاه‌های میلیون‌ها کاربر نهایی همچنان به‌عنوان یک چالش مطرح است.

شرکت‌های امنیتی که نرم‌افزارهای نصب شده بر رایانه‌های شخصی کاربران را دنبال می‌کنند، به‌صورت فصلی آسیب‌پذیری‌های جاوا و سرعت تثبیت آنها را گزارش می‌دهند. گزارش‌های امنیتی سه‌ماهه چهارم این شرکت‌ها نشان می‌دهد که سال ۲۰۱۱، اوراکل پنج آگهی رسمی مشاوره‌ای منتشر کرد که به‌دلیل ۵۸ آسیب موجود در جاوا به کاربران اخطار می‌داد. پچ‌ها یا به‌روزرسانی‌ها هنگام انتشار گزارش‌ها تنها در سه مورد از پنچ مورد در دسترس بودند. سال ۲۰۱۱ حدود ۷۸ درصد از بدافزارها به برنامه‌های کاربردی آسیب‌پذیر یورش بردند؛ برنامه‌هایی نظیر جاوا، ادوبی فلش و آکروبات.

وجود نرم‌افزاری که روی یک رایانه نصب شده و به اینترنت متصل می‌شود، آن هم در نسخه‌های قدیمی و آسیب‌پذیر، بهترین فرصت را برای افراد سودجو فراهم می‌آورد.

در بسیاری از موارد، قابلیت به‌روزرسانی خودکار جاوا بخوبی کار نکرده و کاربران عادی را از یاد می‌برد. حتی در ویندوز ۷ نسخه ۶۴ بیتی، جاوا و دیگر افزونه‌ها نظیر فلش، در جداسازی نسخه‌های ۳۲ بیتی از ۶۴ بیتی ناتوان است؛ به این معنی که حتی اگر پچ نسخه ۶۴ بیتی جاوا را نصب کرده باشید، تا زمانی که یک نسخه ۳۲ بیتی آسیب‌پذیر جاوا هنوز در سیستم وجود داشته باشد، سیستم کاملا ایمنی نخواهید داشت.

همان طور که قبلا اشاره شد جاوا دیگر به‌عنوان بخش نصب‌شده سیستم‌های ‌عامل معمول وجود ندارد؛ به‌صورت پیش‌فرض در لینوکس وجود ندارد و نسخه‌های اخیر ویندوز نیز آن را در خود جای نداده است. در حال حاضر نیز چند هفته بعد از حمله بدافزارها به OSX مشخص شده است که اپل به‌روزرسانی‌های مختص به خود را برای جاوا منتشر می‌کند. این به معنی آن است که کاربران مک برای هفته‌ها یا ماه‌ها به آخرین نسخه جاوا دسترسی نخواهند داشت.

تمام این مسائل سوالی را برای هر کاربر نهایی به‌وجود می‌آورد: آیا باید به‌جای به‌روزرسانی، جاوا را بکلی رها یا حتی حذف کرد؟

به هر ترتیب جاوا فریم‌ورک خود را تحت سیستم‌عامل اندروید اجرا می‌کند و به‌وسیله شرکت‌هایی نظیر کیتریکس برای انتشار سرویس‌هایی مانند GoToMeeting، GoToWebinar و GoToMyPC که از طریق مرورگر بارگذاری و اجرا می‌شوند مورد استفاده قرار می‌گیرد.

برخی متخصصان، مجازی‌سازی را به‌عنوان یک راه‌حل جایگزین برای کسب‌وکارهایی پیشنهاد می‌کنند که به استفاده از سرویس‌های تحت جاوا نیاز دارند. نصب کردن آن در یک ماشین مجازی آن را از محدوده سیستم‌های حیاتی و آسیب‌پذیر دور نگاه می‌دارد. کاربران خانگی بخصوص آنهایی که روی فیس‌بوک و وب تمرکز کرده‌اند ممکن است کماکان استفاده از جاوا را ترجیح دهند، ولی طرفداران HTML5 به راه‌حل‌های دیگر آن برای در اختیار قرار دادن توابع چند رسانه‌ای ـ که جاوا قبلا در توسعه وب ارائه داده بود ـ اشاره می‌کنند.

در هر صورت سوال نگه داشتن جاوا یا حذف آن به «پروفایل ریسک‌پذیر شما و میزان حیاتی بودن آن سیستم» مربوط است. اگر عواقب سازش با جاوا برای شما گران تمام می‌شود، آن را حذف کنید.

محمدحسین کردونی