Video: #07 SAT - Solución, Aplicación Bloqueada por la seguridad de java al ingresar por FIEL (Noviembre 2024)
Java está bajo ataque.
No solo de los sombreros negros que están creando descargas automáticas, archivos adjuntos maliciosos y otros ataques que explotan las vulnerabilidades en la tecnología, sino también de los sombreros blancos que argumentan que los usuarios no deberían usarlos en absoluto. Incluso después de que Oracle parcheó el último lote de vulnerabilidades de día cero en Java, el Equipo de preparación para emergencias informáticas del Departamento de Seguridad Nacional (US-CERT) recomendó a los usuarios desactivar Java.
Al igual que Adobe Flash, Java es un objetivo popular debido a su enorme base instalada. Si realmente no usa sitios web que requieren Java, continúe y bótelo. Incluso tenemos un buen conjunto de instrucciones sobre cómo deshabilitar Java en su navegador.
Pero yo uso Java!
Luego, estamos el resto de nosotros que realmente utilizamos Java de manera regular.
"Dudo que cualquiera que preste atención a los consejos de seguridad esté ejecutando Java, IE 6/7/8, et al. Porque así lo desean: ejecutamos estas cosas porque tenemos que hacerlo, y la decisión está fuera de nuestro control". el gurú de la seguridad Jack Daniel escribió en Uncommon Sense Security.
Cuando miré a mi alrededor para ver qué aplicaciones usaban Java, me di cuenta de que muchas aplicaciones de escritorio populares se ajustaban perfectamente, incluidas las alternativas de Office, ThinkFree Office, LibreOffice y OpenOffice, así como juegos populares como Minecraft. Varias aplicaciones de Adobe también requieren Java para ejecutar ciertos componentes. No hay de qué preocuparse, ya que estas son aplicaciones Java independientes y no las que se ejecutan dentro del navegador web.. Si siguió nuestras instrucciones paso a paso, deshabilitó Java solo en el navegador. Las aplicaciones locales seguirán funcionando bien.
Pero resulta que hay muchos sitios de juegos y empresas que todavía usan Java. Los servicios bancarios especializados, como Citi Private Bank, que combina la inversión y la banca tradicional en una sola cuenta, parecen ser un ejemplo. Los servicios en la nube como Box.net potencian las herramientas de carga de archivos masivos con Java. Citrix y Cisco ofrecen productos VPN SSL sin cliente, lo que permite a los usuarios establecer un túnel VPN seguro y de acceso remoto utilizando un navegador web habilitado para Java.
¿Eres un estudiante? Es probable que su escuela use Blackboard, que requiere la última versión del complemento de Java para cargar archivos y archivos adjuntos, usar la función de chat en tiempo real Virtual Classroom y habilitar ciertas funciones interactivas en la plataforma.
Pogo.com y KidsPlayPark.com ofrecen juegos Java en línea. Muchos usuarios de Pogo, preocupados por las últimas amenazas, parecen haber reemplazado Java 7 con Java 6 (que Oracle ya no admitirá después de febrero), según las publicaciones en los foros de usuarios. Para que lo sepas, es una idea espectacularmente mala. Hay muchos ataques que apuntan a software obsoleto; no hay necesidad de arriesgarse a un conjunto diferente de ataques solo para evitar la última cosecha.
¿Cuáles son las alternativas para TI?
"Si tiene aplicaciones empresariales críticas que requieren Java: intente encontrar un reemplazo", escribió Johannes Ullrich del Instituto SANS en el blog de Internet Storm Center la semana pasada.
Las plataformas de conferencia web parecen ser los mayores obstáculos. WebEx y Citrix GoToMeeting de Cisco solían requerir Java, pero ambas plataformas han modificado recientemente sus aplicaciones para usar una versión diferente si no puede encontrar Java. Citrix dijo que estaba en proceso de eliminar Java por completo. Sin embargo, otros en el espacio, incluidos MeetingBurner y OmniJoin de Brother, todavía usan Java. Join.me, ClickMeeting y ReadyTalk están basados en Flash.
A pesar de que las herramientas de acceso remoto solían estar basadas principalmente en Java, hay una lista cada vez mayor de alternativas que se pueden usar para soporte técnico, dijo a SecurityWatch Chet Wisniewski, asesor de seguridad de Sophos. Los clientes de escritorio remoto también están integrados en Mac OS X y Windows.
"Para apoyar a mi mamá y papá, uso la versión gratuita de LogMeIn", dijo. LogMeIn Free utiliza ActiveX.
¿Qué pasa si no puedo cambiar?
Para muchas empresas, "no hay alternativa", dijo a SecurityWatch Thomas Kristensen, CSO de Secunia. Si bien es posible reemplazar algunas aplicaciones, en general, los administradores deberán encontrar otras formas de proteger a sus empleados. Una forma de reducir la superficie de ataque es habilitar Java solo para aquellos que realmente lo necesitan y deshabilitarlo para todos los demás, dijo Kristensen.
En lugar de decirles a los empleados que dejen de usar Java, las organizaciones deberían centrarse en la "envoltura de burbujas" para proteger a los usuarios, dijo Anup Ghosh de Invincea a SecurityWatch . Los usuarios pueden navegar por la Web a través de un navegador virtualizado, y si se encuentran con sitios maliciosos, abren accidentalmente un archivo con trampa explosiva o intentan descargar malware, el entorno virtual bloquearía la ejecución del ataque en la máquina real. En el segundo en que se cierra el navegador virtual, se elimina el ataque. Y lo mejor de todo, un navegador virtual lo protegería de una gama más amplia de amenazas, no solo de las basadas en Java.
Los usuarios pueden adoptar un sistema de dos navegadores. Si normalmente navega por la Web con Firefox, por ejemplo, considere deshabilitar el complemento de Java en Firefox. Luego, habilite Java en un navegador alternativo como Chrome, IE9, Safari, etc., y navegue solo a sitios que necesiten Java y nunca para navegar en la Web en general.
"Es mejor habilitar Java en un navegador y usar ese navegador solo para sitios web que no funcionarán sin él", dijo Wisniewski.
A los atacantes les gusta cambiar objetivos: Flash, Internet Explorer, Adobe Reader. "Todos tienen un día cero en un momento u otro", escribió Rob VandenBrink de Metafore en el Centro de tormentas de Internet.
Desactivar Java es solo una forma de defenderse de las amenazas web, pero no es una solución universal. Las organizaciones pueden limitar su exposición y adoptar prácticas de seguridad, como el filtrado web y hacer que los usuarios se ejecuten con privilegios limitados, para bloquear ataques, dijo.
"Deje de señalar con el dedo y haga recomendaciones generales que no se puedan seguir", escribió VandenBrink.
Para obtener más información de Fahmida, síguela en Twitter @zdFYRashid.
