曾几何时,微软是木马软件开发者最青睐的攻击目标。万不得已,微软增强了Windows系统的安全性,致使攻击者们又转向了更容易攻击的平台。在这样的情况下,Adobe曾经当了一段时间的被攻击主角,不过后来Adobe也追随微软的脚步,增强了软件的安全性。根据2014年IBM X-Force信息威胁季度报告显示:目前攻击者们最喜欢攻击的目标是——Java。
一个应用平台成为被攻击的主要目标,一般有两个因素:首先是使用范围广。因为就算一个软件漏洞很大很容易攻击,但是却没人什么人用,那骇客们攻击它又有什么意义呢?如果一个木马软件开发者打算费时费力地去侵入一个软件,那么肯定是被侵入的受害者越多他们才越高兴。
第二个因素是难易程度。大多数木马软件开发者还是惰性很高的。虽说世上没有不透风的墙,但是明明不知道软件有什么明确的漏洞,还要硬要用头破血流的决心去死磕破解系统安全的,这也未免太傻太二了。一般比较简单的做法是:锁定有明显安全漏洞,或者安全控制措施不太高的目标,然后破解。
Oracle的Java就完全符合这些条件。Java在Windows,Mac OS X和Linux,以及移动平台等主流操作系统上都有运行,Java可以说是无所不在。而且,在Microsoft和Adobe都对自己的软件安全进行了增强以后,Oracle似乎对安全还是不够重视。
一家名为Trusteer的IBM旗下公司,对2013年12月针对软件的木马攻击情况进行了统计,发现有一半的攻击都是针对Java。Adobe Reader所占的被攻击份额占第二位,达到22%,随后是Internet Explerer, Google Chrome以及其他一些软件。
在Trusteer发表的一篇博文里,解释了为什么Java会如此受到木马软件开发者的欢迎:“Java的曝光率很高,因此很容易招致攻击,属于高危软件。Java里的漏洞太多,因此很可能被木马软件所利用,并导致用户机器被侵入。在客户端,要阻止木马软件的蓄意攻击非常困难。”
Java存在的问题其实要远甚于一个软件不够安全这么简单。因为Java是在一个虚拟机环境里运行(JVM),如果木马软件能够攻破Java的安全模型,那么就可以在虚拟机里执行恶意攻击代码。因为这个恶意攻击是在应用层执行的,所以常规的Windows安全控件,例如DEP和ASLE无法针对这种攻击进行保护。
Trusteer认为,Java在工业和商业范围内使用范围非常广泛。为了阻止针对Java的木马软件和攻击,Trusteer建议使用目前已知的最严格的防范策略:受信Java文件。对于小规模的商业的个人来说,这还是比较容易做到的。
如果要保护你的个人电脑,那么确认你安装了所有针对Java的安全更新。并且希望,Oracle能够虚心听取反馈,在编码中更注重安全,并能更快,更及时地发布更多的安全补丁。同时你自己一定要有安全意识,Java很可能是你电脑安全中的短板。
原文链接: Javaworld 翻译: ImportNew.com - 黄小非译文链接: http://www.importnew.com/10318.html
[ 转载请保留原文出处、译者和译文链接。]
