Advarer mot Java-angrep

Advarer mot Java-angrep

Sikkerhetsvarsko: Mange Windows-pcer kjører uten oppdatert Java-versjon.

Hele 60 prosent av dem som kjører Windows mangler en 18 måneder gammel Java-oppdatering. På et eller annet vis har skurkene tydeligvis fått med seg dette: Opp imot halvparten av angrep som har blitt stoppet av Microsofts sikkerhetsprogramvare har vært forsøk på utnyttelse av Java-hull.

Det viser tall fra Microsofts Thrustworthy Computing Group. Totalt ble mer enn 27 millioner forsøk på Java-angrep stoppet fra midten av 2010 til midten av 2011. Angrepene har forsøkt å utnytte hull som for lengst har blitt lappet, skriver Computerworlds nyhetstjeneste.

Det mest vanlige angrepet, med over 2,5 millioner forsøk, utnytter et hull som ble oppdaget i mars 2010 og lappet av Oracle samme måned. Andreplassen i angrepsforsøk foregår via et hull som ble lappet i desember 2008.

Gamle hull, gammel versjon

Det er altså gamle sikkerhetshull vi her snakker om, noen av dem nesten «old school». Det leie er at for dem uten beskyttelse og uten oppdatert Java-versjon vil slike angrep bli vellykket. Og folk er sløve.

- De fleste Windows-pcer er simpelthen ikke oppdatert når det gjelder Java, sier Wolfgang Kandek, teknologisjef i det amerikanske sikkerhetsselskapet Qualys.

De henter statistikk fra pc-ene i kundebasen for å ha kontroll på hvordan kundene er med oppdatering, og mener statusen for Java-oppdateringer er patetisk.

- Java-oppdateringer ligger seriøst langt bak. 84 prosent av maskinene vi ser har ikke Juni 2011-oppdateringen, 81 prosent har ikke Februar 2101-oppdateringen og 60 prosent har ikke Mars 2010-oppdateringen.

Qualys har ikke tall for siste oppdatering, fra oktober 2011, men estimerer 90 prosent mangel på denne oppdateringen blant maskinene de overvåker.

Smart angrepsvektor

For bedriftene er problemet at det beinharde fokuset på rene Windows-oppdateringer går på bekostning av Java-oppdatering. Andre ganger er det visse applikasjoner som krever eldre Java-versjoner.

For sluttbrukeren er problemet usynlighet: Java er et program som kjører litt bak i kulissene.

- Fra en angripers perspektiv er det smart å bruke Java som den tause morderen. Hvis folk ikke vet hva det er eller hva det gjør er det mindre sannsynlig at de oppdaterer det, kommenterer Andrew Storms fra selskapet Ncircle Security.

Den anerkjente sikkerhetsbloggeren Brian Krebs, tidligere ansatt i Washington Post, har gjentatte ganger rådet folk til å simpelthen avinstallere Java. For norske brukere ville et slik drastisk grep blant annet fått konsekvenser for innlogging til nettbanken, ettersom Bankid er basert på Java.