איך תימנעו מפרצות ג'אווה?

למאמר הבא
גיל נוילנדר

האקרים ופושעי העולם הווירטואלי נמצאים בחיפוש תמידי אחר פרצות שיאפשרו להם לחדור למחשב שלנו ולהשיג ממנו מידע יקר. אחת מהפרצות נפוצות ביותר בשנתיים האחרונות היו פרצות בתוכנת הג'אווה, שקיימת כמעט על כל מחשב בעולם וכנראה גם על המחשב שלכם. מה זה פרצת ג'אווה ומה אתם יכולים לעשות כדי להימנע ממנה? מה זה ג'אווה בכלל?

בפשטות, ג'אווה זו שפת תכנות שמאפשרת למתכנתים ומפתחי אפליקציות ליצור תוכנות המיועדות למערכות ההפעלה השונות. אתרים ואפליקציות רבות תלויות בכך שתוכנת ג'אווה תותקן על המחשב מראש כדי לפעול כראוי. ברוב המקרים, כאשר המשתמש מבקר באתר או משתמש בתוכנה שמצריכה ג'אווה, יישום הג'אווה יפעל אוטומטית ברקע מבלי שהמשתמש יבחין בכך או יצטרך לבצע פעולה כלשהי. אם תוכנת ג'אווה אינה מותקנת על המחשב שלכם אתם תתבקשו להתקין אותה כדי להמשיך בגלישה.

לרוב תוכנת הג'אווה מותקנת על המחשב על ידי הטכנאי בחנות המחשבים, יחד עם מערכת ההפעלה ותוכנות אחרות שהמשתמש הממוצע אינו יודע להתקין בעצמו. בימינו המגמה הזו נמצאת בירידה, אך מחשבים רבים עדיין מגיעים עם תוכנת הג'אווה מתוקנת מראש, לעיתים מבלי שהמשתמש מודע לכך.

אז מה כל כך מסוכן בג'אווה?

כפי שציינו קודם, תוכנת ג'אווה קיימת כמעט על כל מחשב בעולם. התפוצה הרחבה, יחד עם אינספור בעיות אבטחה שדווחו בשנים האחרונות הפכו אותה לאחת מנקודת התורפה העיקריות במחשבים שלנו. באופן תיאורטי, האקר כלשהו יכול לזהות פירצה בג'אווה ודרכה לפרוץ כמעט לכל המחשבים בעולם, אבל אפילו אם הוא מצליח לפרוץ לכל המחשבים בעולם אלא "רק" לאחוז קטן, תוך ניצול אותה פרצת ג'אווה, עדיין מדובר במיליוני מחשבים.

כדי להתמודד עם בעיית פרצות הג'אווה דואג אורקל, החברה המפתחת את הג'אווה, לפתח גרסאות חדשות ועדכוני תוכנה לג'אווה לעיתים קרובות. אבל כשהרבה מהמשתמשים כלל לא ערים לכך שמותקנת להם תוכנת ג'אווה המחשב, כל העדכונים או הגרסאות החדשות שבעולם לא ממש יעזרו והם נשארים חשופים לסכנה.

אפילו המשתמשים הזהירים ביותר, שמקפידים להתקין את כל העדכונים והגרסאות החדשות של ג'אווה כאשר הן משתחררות, לא בהכרח מוגנים. רוב מתקפות הג'אווה מנצלות פרצות בגרסאות הישנות יותר של ג'אווה שאולי עדיין מותקנות על המחשב שלכם, למרות שהתקנתם את הגרסה החדשה. הסיבה שבגללה הגרסה הישנה לא מוסרת אוטומטית מהמחשב כאשר המשתמש מתקין את החדשה היא כדי לאפשר לו לחזור בקלות לגרסה הישנה יותר אם התגלו בעיות כלשהן עם החדשה. כך יכול להיווצר מצב שעדיין מותקנת לכם על המחשב גרסה ישנה של ג'אווה, שכבר לא מקבלת עדכונים, ומשמשת האקרים לפרוץ לכם למחשב.
אבל אל דאגה, בהמשך המדריך נסביר איך אתם בודקים ומסירים גרסאות ישנות של ג'אווה מהמחשב שלכם. זה יותר פשוט ממה שתחשבו.

אז איך תמנעו מפריצות ג'אווה?

1. גרסה מעודכנתהדבר הראשון שעליכם לבדוק הוא שעל המחשב שלכם מותקנת הגרסת הג'אווה העדכנית ביותר. כדי לעשות זאת עליכם לפתוח את ממשק ההפעלה של תוכנת הג'אווה שלכם דרך ה Control Panel. בממשק הג'אווה כנסו ללשונית General ולחצו על About, בחלון שייפתח יופעו מספר הגרסה העדכני ומספר עדכוני התוכנה שהיא קיבלה. נכון לכתיבת שורות אלה, הגרסה העדכנית ביותר של ג'אווה היא גרסה 8 ומאז שחרורה היא עודכנה כבר 45 פעמים.

2. הסירו גרסאות ישנות – כפי שהוסבר מוקדם יותר, יכול להיות, במיוחד אם ברשותכם מחשב קצת ישן, שמותקנת לכם גרסה ישנה יותר של ג'אווה שאינה מקבלת עדכונים ושעלולה לשים אתכם ואת המחשב שלכם בסכנה. לחיצה על הלינק הזה תעזור לכם לבצע בדיקה קצרה ופשוטה שתאתר ותסיר אוטומטית גרסאות ג'אווה ישנות ובלתי רצויות מהמחשב שלכם.

3. עדכונים אוטומטיים – כפי שצוין קודם לכן, תוכנת הג'אווה מתעדכנת באופן תדיר. מטרת העדכונים היא לתקן באגים ותקלות כמו גם לחסום פרצות אבטחה חדשות שנתגלו. בלשונית Update של תוכנת הג'אווה תוכלו להגדיר שעדכוני תוכנה יעודכנו אוטומטית.

כדי להגדיר עדכונים אוטומטים עקבו אחר ההנחיות הבאות: פתחו את ממשק הג'אווה, כנסו ללשונית ה Update, וודאו שהצ'ק-בוקס מול השורה "Check for Updates Automatically" מסומנת על מנת שתקבלו עדכון אוטומטי לתוכנת הג'אווה שלכם. בתפריט האפרשרויות המתקדמות (Advanced) שמופיע מול השורה, תוכלו גם לשנות את תדירות ההתראות לפעם ביום, פעם בשבוע או פעם בחודש. בחלקו התחתון של החלון תוכלו לוודא שהתוכנה מעודכנת על ידי לחיצה על Update Now.

4. הפעלת יישומי ג'אווה ממקור לא ידוע – כאשר יישום ג'אווה שמקורו אינו ידוע מנסה לרוץ על המחשב שלכם אתם תקבלו אזהרה שנראית כך:

במקרה כזה אנחנו ממליצים שלא להפעיל את היישום בשום פנים ואופן, אלא ללחוץ על ה Cancel אותו אתם יכולים לראות מצד ימין למטה. אם אתם בכל זאת רוצים להפעיל את היישום תוכלו לעשות זאת כל ידי סימון האופציה שאתם מודעים לסכנה ובכל זאת רוצים להפעיל את האפליקציה. בכל מקרה, ההמלצה שלנו היא שלא תעשו זאת.

5. נטרול תוכנת הג'אווה – בתחילת 2013 פורסמה הודעה חריגה במיוחד על ידי גורמים בכירים בממשל ארה"ב שהמליצו לנטרל את יישום הג'אווה במחשבים הביתיים עד שפרצה מסוכנת שנחשפה תתוקן. במידה ומסיבה כלשהי אתם רוצים לנטרל זמנית את יישום הג'אווה, תוכלו לעשות זאת על ידי כניסה ללשונית Security וביטול הסימון בצ'ק-בוקס "Enable Java Content in the browser".