Sok fejtörést okoz a Java biztonsága

Az informatikusok és a biztonsági szakemberek egyre jobban tartanak a Java alapú alkalmazások sebezhetőségeitől. Tudják, hogy gondok vannak, de nem könnyű úrrá lenni a nehézségeken.
 

A legnépszerűbb alkalmazások sebezhetőségei gazdag táptalajjal látják el a kiberbűnözőket. Számukra ugyanis a széles körben telepített, biztonsági résektől sújtott szoftverek könnyű prédát jelentenek, és egy percig sem haboznak kihasználni a kínálkozó lehetőségeket. Az egyik legtöbbet támadott platformot a Java, illetve a Java alapú szoftverek jelentik, amelyek minden iparágban jelen vannak. Különösen elterjedtek olyan biztonsági szempontból kritikus szektorokban, mint amilyen a pénzügy vagy az elektronikus kereskedelem. Ezért nem csoda, hogy a Java sérülékenységei különös figyelmet kapnak, és meglehetősen sok aggodalmat váltanak ki.
 
Az alkalmazásbiztonsággal foglalkozó Waratek vállalat a legutóbbi felmérését informatikai és biztonsági vezetők körében végezte el. Arra volt kíváncsi, hogy a szakemberek a Java biztonsági problémáiról miként vélekednek. A kutatás során a megkérdezettek 32 százaléka elismerte, hogy a szervezeténél működnek olyan Java alkalmazások, amelyek bizony sebezhetők. 17 százalékuk pedig egyenesen kijelentette, hogy ezek a szoftverek "nagyon sérülékenyek" a támadásokkal szemben.
 
Nehéz a védekezés

A válaszadók 60 százaléka szerint a legtöbb gondot a nem biztonságos, nem biztonságtudatos programozás okozza. A felmérésben résztvevők negyede szerint komoly kockázatot jelentenek a külső alkalmazáskönyvtárak is, amelyek folyamatos felügyelete, frissítése nem egyszerű feladatat. A megkérdezettek 19 százaléka külön hangsúlyozta, hogy leginkább az SQL injection alapú támadásoktól tart, hiszen ezek közvetlen adatbiztonsági incidensekhez vezethetnek.
 
Annak ellenére, hogy a szervezetek többsége jól felmérte az alkalmazásbiztonsági kockázatokat, azokat mégsem képes hatékonyan és kellő mértékben csökkenteni. A felmérés során a válaszadók 87 százaléka bevallotta, hogy az informatikai biztonságért felelős csapata nem tudja megfelelően megvédeni a Java alapú alkalmazásokat a támadásokkal szemben, aminek leginkább az az oka, hogy mindehhez nincsenek meg a kellő mélységű információik.
 
"Az egyedi fejlesztésű Java alkalmazások szinte minden iparágban dominálnak. Azonban ezek a vállalati szoftverek gyakran elavult platformokon futnak, és sok külső kódkészletet használnak. Ezért aztán nem meglepő, hogy a biztonsági szakemberek tartanak e programok sebezhetőségeitől" - nyilatkozta Brian Maccaba, a Waratek elnök-vezérigazgatója. A szakember azt is elárulta, hogy a felmérésük szerint az adatbiztonsági incidensek kapcsán a legtöbben (55%) a vállalatuk hírnevének csorbulásától félnek, de sokan vannak azok is (34%), akik az ügyfelek elvesztésétől és a szellemi tulajdon sérülésétől tartanak.
 
A Waratek hangsúlyozta, hogy ez esetben is egy többszereplős problémáról van szó, ezért a kockázatok csökkentésében mindenkinek részt kell vennie. Az Oracle ugyan rendszeresen adja ki a hibajavításait, de mindez nem elégséges, hiszen a fejlesztőknek és az üzemeltetőknek is résen kell lenniük.