Sedm kroků k zabezpečení Javy v podniku

V reakci na úspěšné zneužití bezpečnostních chyb v implementacích Javy při útocích na společnosti jako je Twitter, Facebook, Apple nebo Microsoft, oddělení CERT (Computer Emergency Readiness Team) amerického DHS (Department of Homeland Security) vydalo několik bezpečnostních doporučení.

DHS mimo jiné doporučilo vypnout podporu Javy ve webových prohlížečích, což donutilo Oracle uvolnit řadu záplat, některé z nich mimo naplánovaná data. Varování před potenciálními hrozbami nejsou nic neobvyklého, ovšem vypnutí nebo odinstalace produktu, doporučené nikoli výrobcem, ale úřadem, přece jen zní jinak a vyvolává jistý tlak na chování organizací. Vzdát se Javy je ovšem pro řadu firem obtížné až nemožné – v závislosti na tom, jak jsou postaveny jejich informační systémy.

Zde je několik kroků, které pomohou při zabezpečování vaší sítě proti útokům na Javu:

1. Opřete se o analýzu dopadu
Je třeba mít dobrý přehled o tom, kde je Java v organizaci používána. Existují nějaké aplikace, které se bez Javy neobejdou, a komu slouží – pouze zaměstnancům, partnerům nebo jsou nabízeny i veřejnosti? Bez těchto informací nelze vůbec posuzovat rizika a plánovat kroky k jejich odstranění.

2. Javu udržujte neustále aktualizovanou
Je naprosto nezbytné udržovat všechny počítače a zařízení aktualizované na poslední verzi Javy. Oracle podporuje pouze ji –pro starší verze nejsou žádné bezpečnostní záplaty dostupné. Záplaty se vyplatí stahovat pouze přímo z webu Oracle kvůli jistotě, že nebyly na nějakém stahovacím webu třetí stranou neoprávněně upraveny.

Nejlepší je starší verze Javy ručně odinstalovávat, protože prostá instalace nové verze negarantuje, že ta předchozí byla odstraněna. Samozřejmě se může stát, že některé aplikace vyžadují starší verzi Javy a bez její přítomnosti nebudou funkční. Je třeba snažit se odstranit závislost společnosti na podobných aplikací, pokud tedy nelze získat jejich opravenou verzi. Mírně nepraktickou možností je potom takové aplikace spouštět pouze ve virtualizovaném izolovaném prostředí.

3. Nastavte ovládací panel Javy
V ovládacím panelu Javy, který je k dispozici na většině platforem, lze detailně nastavit chování Javy, od možnosti automatických aktualizací po bezpečnostní nastavení – které bylo mimochodem u předchozích verzí Javy nastaveno na „střední“, ale od verze 7 je ve výchozím stavu na stupni „vysoké“.

4. Zabezpečte webové prohlížeče
Kdykoli je to možné, vypněte Javu ve webových prohlížečích a pokud to není z nějakého důvodu možné, zamezte alespoň možnosti stahování dalších Java appletů z internetu. Občas doporučovanou metodou je používat dva odlišné prohlížeče, jeden z nich určený pouze pro ověřená místa, kde je naprosto nezbytné Javu použít. Uživatele lze adekvátně motivovat poměrně jednoduše, pokud je ve vaší moci nastavení pravidel proxy , které povolí k  místům s Javou přistupovat pouze jednomu typu prohlížeče.

5. Kontrolujte koncové body BYOD
Bezpečnostní situace se komplikuje i kvůli tomu, že se k prostředkům korporátních sítí připojují osobní zařízení zaměstnanců. Ne každý chytrý telefon obsahuje zabudovanou Javu, ale některé starší i nové přístroje jsou postavené na Javě. Dnešní bezpečností software dokáže vymezit přístup pouze pro zařízení určitého typu či s aktuální verzí softwaru, ale nemusí být zrovna cenově dostupný pro menší organizace.

Javu ale používá i řada dalších zařízení, jako jsou tiskárny, platební terminály a další. Identifikovat a monitorovat chování všech těchto skupin si ale samozřejmě nárokuje značné množství času IT oddělení.

6. Analyzujte dopad Javy na korporátní weby a portály
Korporátní přítomnost na internetu je významným marketingovým nástrojem a často nezanedbatelným zdrojem příjmů. Při návrhu webu pro veřejnost počítejte s uživateli, kteří budou mít ve svých prohlížečích vypnutou Java, ale i Javascript, a snažte se detekovat a přesměrovávat na stránky, které jsou na podobný scénář připraveny.

7. Pokud vyvíjíte v Javě, postupujte zodpovědně
Podepisujte všechny aplikace pomocí podpisu od důvěryhodné certifikační autority a nekomplikujte stávající situace šířením nepodepsaného softwaru. Navíc existuje řada řešení třetích stran, které umožňují vývojářům snadno přidávat bezpečnostní funkce, jako je šifrování či digitální podpisy, přímo do jejich aplikací.