Zašto je Java džek pot za hakere

Vesti, 05.06.2013, 09:31 AM

Java je poslednjih meseci džek-pot za hakere a istraživanje koje je sproveo Websense Security Lab otkriva zašto je to tako.

Prema podacima koje je analizirao Websense, polovina od više od milijardu korisnika Java-e koristi verziju programa koja je starija od dve godine. Šta više, 75% svih korisnika koristi verziju od pre 6 ili više meseci.

Oracle je najavio ažuriranje za sigurnosne propuste u Java-i za 18. jun, ali malo je verovatno da će većina korisnika požuriti da instaliraju to ažuriranje s obzirom da 93% korisnika još uvek nije instaliralo ni poslednje bezbednosno ažuriranje koje je Oracle objavio 16. aprila.

Analiza podataka uglavnom poslovnih korisnika pokazala je sledeće:

• Dva dana pošto je Oracle 16. aprila objavio Critical Patch Update, manje od 2% korisnika je instaliralo Java SE Version 7 Update 21;
• Posle nedelju dana, najnoviju verziju Java-e je imalo manje od 3% korisnika;
• Dve nedelje kasnije, taj procenat je bio nešto veći - nešto više od 4%;
• Mesec dana pošto je objavljena, najnoviju verziju Java-e preuzelo je svega 7% korisnika.

Dakle, mesec dana posle objavljivanja zakrpe za 42 sigurnosna propusta, računari 92,8% korisnika su i dalje bili nezaštićeni od napada na poznate ranjivosti.

Istraživanje Websense-a je pokazalo da je primena zakrpe najveća u drugoj nedelji od njenog objavljivanja, i da se taj trend, istina sporije, nastavlja i u periodu posle toga.

Do sličnih podataka došli su i stručnjaci kompanije Avast koji su objavili svoja otkrića na ovu temu u martu. Samo 4% korisnika je prema podacima Avast-a, imalo instaliranu najnoviju verziju Java-e.

Ako izuzmemo kućne korisnike, postavlja se pitanje zbog čega kompanije i organizacije svesno rizikuju neažuriranjem softvera. U Websense-u to objašanjavaju time da mnoge korporativne mreže imaju interne aplikacije koje zavise od određenih verzija Java-e, i čije bi normalno funkcionisanje zakrpe mogle da poremete. To znači da kompanije namerno i svesno rizikuju.

I Oracle-ova procedura ažuriranja kompanijama predstavlja problem, jer ažuriranje zahteva administratorske privilegije koje prosečni korisnici u kompanijama nemaju. Čak i u kompanijama i organizacijama gde to nije tako, i gde zaposleni, korisnik računara, može da ažurira Java-u, mnogi jednostavno neće to uraditi.

Sa samo 7% korisnika koji imaju ažuriranu Java-u na računarima, za hakere je lak posao da iskoriste neku od mnogobrojnih ranjivosti u Java-i. Čak i kratko odlaganje ažuriranja može koštati skupo vas ili vašu kompaniju zbog toga što savremeni maliciozni programi sada deluju veoma brzo. Više od polovine današnjih malvera će komunicirati sa svojom kontrolom preko interneta u roku od 60 sekundi posle infekcije računara, za šta su u prošlosti bili potrebni sati.

Ako ste među 93% korisnika koji još uvek nisu primenili zakrpu koju je Oracle objavio u aprilu, preporuka stručnjaka je da to uradite što pre. I naravno, ne zaboravite, 18. juna čeka vas isti posao kada Oracle bude objavio novi Critical Patch Update.