Foorumit

Taistelu nettirikollisuutta vastaan - java-haavoittuvuuksilta suojautuminen
Created by: kemton Created on: 2012-10-04 17:10:17 Read times: 5501
kemton
+1


Date: 2012-10-04 17:10:17
Edited: 2012-12-08 13:54:55
Monet ovat varmasti viimeaikoina huomanneet, kun java on noussut mediossa esille haavoittuvuuksillaan. Etenki uusi Java 7, josta löydettiin vakava nollapäivähaavoittuvuus, joka on kylläkin jo korjattu. Tässä topicissa tuon esille kuinka helppoa java-haavoittuvuuksia on käyttää hyväksi ja kuinka näiltä tulisi asianmukaisesti suojautua. Tämä topic koskee meitä kaikkia ja toivon että mahdollisimman moni ottaa hoitaakseen oman tietoturva-tason kuntoon.

*******************
Mikä haavoittuvuus?
*******************

Kun lataatte javan sivuilta Java JRE:n se tuo mukanaan vain ohjelman, joka mahdollistaa java-ohjelmien ajamisen koneellasi. Jos tahdomme ajaa java-sovelmie (kuten kiekko.tk, sampopankki) selaimessa, tarvitsemme JRE:n lisäksi selaimeen liitännäisen (plugin), joka mahdollistaa java-sovelmien ajamisen selaimessa ja tästä ongelmat vasta syntyvätkin. Kohta joka mahdollistaa nettirikollisen pääsyn tietokoneellesi on Javan ominaisuus, jossa se kysyy käyttäjältä "Luotatko tähän sovellukseen ja haluatko antaa tälle oikeudet tietokoneellesi" ja loput jäänee arvattavaksi mitä siitä seuraa. Jokainen voi myös vain kuvitella kuinka moni internetin käyttäjistä vastaa tuollaiseen kysymykseen myönteisesti, tietämättään minkä tietoturva-aukon oli koneelleensa muodostanut.

Oikein käytettynä ominaisuus voi olla hyödyllinen, mutta sinun tulee olla täysin varma siitä että vastapuoli on luotettava. Otin esimerkkikuvan kiekosta, jossa OpenGL:llä toimiva appletti kysyy käyttäjiltä lisäoikeuksia sovelluksen ajoa varten. (HUOM! Tähän voi huoletta vastata myöntävästi, koska kiekko.tk on luotettava ja tunnettu!)

Esimerkkikuva: http://uppaa.net/img/009/warning.png
Lista siitä mihin myönnettävät oikeudet riittävät: http://uppaa.net/img/009/more.png

****************************************
Kuinka voin suojautua haavoittuvuuksilta?
****************************************

Suosittelen kaikkia pitämään yllä kahta eri selainta, joista vain toisessa pidätte java-pluginin asennettuna. Selaimella jossa java-plugin on asennettuna et tee muuta kuin käytät javaa vaativia sovelluksia (kiekko.tk, sampopankki), ja toisella surffailet normaalisti netissä. Näin riskit minimoidaan ja tietoturva taso paranee. Itse käytän pääselaimena chromea ja java-sovelluksia suoritan firefoxilla. Voin suositella samaa kombinaatiota myös muille.

*************************************
Kuinka estän javan käytön selaimessa?
*************************************

Firefox: https://support.mozilla.org/en-US/kb/How%20to%20turn%20off%20Java%20ap plets
Chrome: Mene osoitteeseen: "chrome://plugins/". Etsi Java ja poista se käytöstä.

***********
Yhteenveto
***********
Salli Java-pluginin käyttö vain yhdessä selaimessa ja käytä tätä vain java-sovelluksien ajamiseen. Käytä aina uusinta java-versiota. Seuraa mihin kysymyksiin vastaat myöntävästi. Ongelma esiintyy niin Windows, Mac sekä Linux-käyttäjillä.
Saslik
HC Tyrmäys
+1


Date: 2012-10-05 17:14:37
Niin, ja tästä tekee vielä tärkeämpää se, että tässä pelissä käytetään (ilmeisesti) aika paljon jotain vanhoja ja turva-aukkoja täynnä olevia versioita javasta.

Chromessa on myös semmonen jännä ominaisuus kuin selaimen sisäiset käyttäjät. Tästä on se ilo, että javaa vaativille sivuille voi tehdä (sivulla chrome://chrome/settings/ ) erillisen chrome-käyttäjän, jossa javan voi laittaa päälle. Muilla sivuilla voi sitten käyttää sitä alkuperäistä käyttäjää, jossa java pistetään pois päältä. En tiedä onko tämä sen helpompi tapa, mutta ainakin yläkulman ikoniksi voi laittaa vaikka jonkun ihq kissakuvan muistutukseksi siitä, että nyt on javakäyttäjä päällä. :333

Firefoxista en tiedä, mutta voi olla, että siinäkin onnistuu joku vastaava.
kemton



Date: 2012-10-05 19:08:24
Varmaankin yhtä tehokas tapa tuo Saslikin antama neuvo voisi olla, kuin kahen selaimen ylläpito. Itse perustin mielipiteeni suojautumiseen vain siihen, kun Mikko Hyppönen otti puheeksi "Cyber Security" -seminaarissa kuinka Javan kanssa tulisi toimia.

Firefoxissa on kanssa tuon Saslikin neuvon tapanen ominaisuus, mutta en osannut kunnolla käyttää sitä. Toimi kylläkin pikaisen testin jälkeen Flashin kanssa, mutta Java ei suostunut ollenkaan käynnistymään. Kyseisen asetuksen saa päälle kirjoittamalla osoitekenttään "about:config" ja kytkemällä päälle kohdan "plugins.click_to_play".

Teemu nosti myös esille QuickJavan, joka saattaa olla myös ihan toimiva lisäosa Javan ajamisen kontroloimiseen: https://addons.mozilla.org/en-US/firefox/addon/quickjava/

Kuitenkin pidättäydyn vielä siinä, että parempi vaihtoehto olisi pitää yllä kahta selainta, joista toisen pyhittää vain javalle. Tällöin on selkeät rajat missä java toimii ja missä ei. Kun aletaan yhdestä paikkaa kontroloimaan tiettyjä ominaisuuksia, niin myöhemmin voidaan huomatakkin että oma kontrolli petti ja plugini on ollutkin jatkuvasti käytössä.
Anonymous



Date: 2012-10-11 19:00:00
Edited: 2012-10-11 19:01:58
Nyt kun tuli tämä java puheenaiheeksi, niin aattelin ite myös kantaa korteni kekoon.

Tosiaan viime aikoina on ollut paljon java julkisuudessa. Varsinkin niille, jotka eivät käytä javaa millään lailla suosittelen poistamaan sen, koska siitä on silloin enemmän haittaa kuin hyötyä. Mutta tietysti nyt kun puhumme asiasta täällä kiekko.tk -foorumilla niin oletan, että suurin osa meistä käyttää javaa. Muuten ei tätä peliä pystyisi pelaamaan.

Firefoxin käyttäjille suosittelen ehdottomasti NoScript -lisäosan asennusta. Se blokkaa automaattisesti kaikki JavaScript, Java, Flash ja muut pluginit. Voit itse kontrolloida millä sivulla haluat sallia noiden käytön (esim. kiekko.tk). Ainoa ongelma tietysti on, että et koskaan voi tietää onko sivu 100% puhdas. Enemmän NoScriptistä ja ohjeet asennukseen alla olevasta linkistä.

http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&p= 230592&highlight=#230592

EDIT:

Ja mitä vanhoihin java versioihin tulee niin poistoon välittömästi. Kiekko toimii uusimmalla javalla ainakin itsellä ihan täydellisesti. Ja älkää jumankekka pelatko tuolla aivan uusimmalla kiekolla (se jossa ne älyttömät grafiikat ja kaikki). Pilas ainaki mun pelikokemuksen ihan kokonaan.
Mythology
Stuffed Animals



Date: 2012-10-12 08:36:17
Edited: 2012-10-12 08:37:18
Mäiske wrote:
Ja mitä vanhoihin java versioihin tulee niin poistoon välittömästi.


Ei mulla koskaan oo ollut mitään ongelmia tietoturvan kanssa vaikka javan päivitän vasta kun on pakko (jokin ohjelma ei toimi ilman päivitystä).

Edelleenkin tärkein asia tietoturvan suhteen on oma järjenkäyttö. Toki jotkin ohjelmat lisäävät riskiä koneen saastumiseen eikä tuolle koneen saastumiselle aina voi itse mitään, mutta ei mulla ainakaan ole koskaan ollut mitään viruksia, vaikka edellistä konettani käyttelin reilun vuoden ilman mitään virustorjuntoja ja sen jälkeen skannailin, 0 saastunutta tiedostoa.

Totta kai viruksentorjuntaohjelmat sun muut kannattaa pitää aina ajantasalla ja niin toimin toki itsekin tälläkin hetkellä, mutta uusia javoja en kehottaisi asentamaan heti kun ne ilmestyvät. Miksi muuttaa toimivaa järjestelmää?
kemton



Date: 2012-10-12 15:17:57
Mythology wrote:
Mäiske wrote:
Ja mitä vanhoihin java versioihin tulee niin poistoon välittömästi.
Ei mulla koskaan oo ollut mitään ongelmia tietoturvan kanssa vaikka javan päivitän vasta kun on pakko (jokin ohjelma ei toimi ilman päivitystä).

Edelleenkin tärkein asia tietoturvan suhteen on oma järjenkäyttö. Toki jotkin ohjelmat lisäävät riskiä koneen saastumiseen eikä tuolle koneen saastumiselle aina voi itse mitään, mutta ei mulla ainakaan ole koskaan ollut mitään viruksia, vaikka edellistä konettani käyttelin reilun vuoden ilman mitään virustorjuntoja ja sen jälkeen skannailin, 0 saastunutta tiedostoa.

Totta kai viruksentorjuntaohjelmat sun muut kannattaa pitää aina ajantasalla ja niin toimin toki itsekin tälläkin hetkellä, mutta uusia javoja en kehottaisi asentamaan heti kun ne ilmestyvät. Miksi muuttaa toimivaa järjestelmää?

Tarkoitus oli rakentaa yleispätevä ohje, eikä vain muistutella omasta järjenkäytöstä. Suurimmalla osalla käyttäjistä ei ole tarpeeksi suurta tietotaitoa/osaamista suojatakseen itseänsä ilman mitään ohjeistusta.

Luotat suuresti virusskanneriin. Mitäpä jos jokin virus on päässyt manipuloimaan tuota sinun virusskanneriasi, jonka takia se ei myöskään mitään löytänyt? Ei nuo skannerit myöskään mitään satavarmaa tulosta kerro, ovelimmat virukset/madot ym. kulkevat niitäkin edellä ja osaavat naamioitua siten ettei nämä ohjelmat niitä löydä. Itse mielummin pidän huolta omasta tietoturvasta alusta lähtien, jolloin voin olla varmempi siitä ettei koneellani mitään haitallista ole.

Ja miksi suosittelin uusimpia java-versioita. No ihan vain siksi koska uusimmissa versioissa on paikattu vanhoja tietoturva-aukkoja. Toimivasta järjestelmästä tulee toimimaton järjestelmä, kun tarpeeksi pihtaa vanhojen versioiden kanssa, ja erityisesti näiden selain-plugineiden kanssa. Myös on hyvä ottaa tavaksi ylläpitää päivitettyä kokoonpanoa.

Mäiske wrote:
Firefoxin käyttäjille suosittelen ehdottomasti NoScript -lisäosan asennusta. Se blokkaa automaattisesti kaikki JavaScript, Java, Flash ja muut pluginit. Voit itse kontrolloida millä sivulla haluat sallia noiden käytön (esim. kiekko.tk). Ainoa ongelma tietysti on, että et koskaan voi tietää onko sivu 100% puhdas. Enemmän NoScriptistä ja ohjeet asennukseen alla olevasta linkistä.

http://www.virustorjunta.net/modules.php?name=Forums&file=viewtopic&p= 230592&highlight=#230592

Koitin pitää oman kirjotuksen mahdollisimman informatiivisenä ja tiiviinä. Jälkeenpäin mietittynä tästä olisi hyvin voinut edes mainita. Hyvä kun otit esille!
Anonymous
-3, kielenkäyttö/roskaa


Date: 2012-11-25 23:55:20
.
Anonymous



Date: 2012-12-08 17:39:46
Tärkein foorumi kaikista kiekon foorumeista, kiitos kemton !
Mainos

Created by: kemton Created on: 2012-10-04 17:10:17 Read times: 5501