Vì sao Java vẫn không bị khai tử mặc dù liên tục bị hack?

Published on February 25, 2013   ·   No Comments
Thời gian gần đây, một loạt các công ty lớn hàng đầu trên thế giới như Facebook, Applemới nhất là Microsoft, lần lượt trở thành nạn nhân của các hacker (nhiều nghi vấn là các hacker đến từ Trung Quốc). Hệ thống máy tính của những ông lớn này đều bị hacker thâm nhập chủ yếu thông qua một con đường là Java. Và không chỉ mới đây mà trong quá khứ, rất nhiều cuộc tấn công của hacker đều nhằm vào Java trên máy tính người dùng.
Java về thực chất là một plugin web, sản phẩm thuộc sở hữu của hãng công nghệ Oracle. Nền tảng triển khai lập trình này của Oracle không phải gần đây nữa mà từ trước tới nay đã là một nguồn ưa thích để hacker khai thác, phát tán malware. Oracle đã phải liên tục đưa ra các bản vá cho sản phẩm này, nhưng cứ mỗi lần bản vá mới được tung ra chưa được bao lâu, hacker lại tìm ra được một lỗ hổng khác để khai thác. Một ví dụ là vào hồi giữa tháng 1, chỉ chưa đầy 24 tiếng sau khi Oracle tung ra bản vá lỗi cho plugin này, nhà nghiên cứu bảo mật Brian Krebs phát hiện ra rằng một lỗ hổng khác của Java đã được hacker đem rao bán ở chợ đen với giá 5000 USD.
Các hacker thường lợi dụng các lỗ hổng bảo mật từ Java để vào các website có thứ hạng cao nhằm phát tán malware 1 cách rộng rãi. Trong trường hợp Apple, hacker đã lợi dụng lỗ hổng Java trên trang web dành cho lập trình viên iPhoneDevSDK.com, dẫn tới việc một số máy tính của nhân viên Apple bị malware thâm nhập. Từ lỗ hổng Java, hacker có thể thực hiện các cuộc tấn công như ăn cắp dữ liệu, cài đặt các công cụ điều khiển máy tính từ xa (vào máy nạn nhân). Từ việc tấn công trang web của lập trình viên, hacker còn có cơ hội phát tán malware lên rất nhiều thiết bị khác, bởi một khi lập trình viên đã bị nhiễm malware, rất có thể họ sẽ vô tình tiếp tay cho hacker đưa malware vào ứng dụng và những người dùng cài ứng dụng đó sẽ bị ảnh hưởng.
 Sự yếu kém của Java rằng đây là một sản phẩm thất bại, là một mối nguy hại thường trực cho máy tính người dùng. Apple, kể từ đã vô hiệu hóa hoàn toàn Java 7 trên HĐH OS X của họ.
Có thể nói Java là một miếng mồi ngon mà các hacker sử dụng để thực hiện ý đồ của mình. Vậy tại sao Java lại bị hacker nhắm tới liên tục như vậy. Và tại sao mặc dù bị hack liên tục nhưng Java dường như vẫn không bị khai tử mà nó vẫn tiếp tục được sử dụng.
Đầu tiên cũng phải kể tới lý do vì sao Java lại là miếng mồi mà hacker ưa thích. Đó là vì plugin này có mặt ở khắp nơi. Ban đầu thuộc sở hữu của Sun Microsystems. và nay thuộc sở hữu của Oracle (hãng này mua lại Sun Microsystems vào hồi 2009), Java là nền tảng có rất nhiều lợi thế: lập trình viên chỉ cần viết code một lần là có thể sử dụng trên nhiều nền tảng khác nhau như Windows, OS X, Linux. Một con số thể hiện sự phổ biến của Java: nó có mặt trên hơn 3 tỷ thiết bị trên toàn cầu.

Java quá phổ biến và rất khó bị thay thế ở thời điểm hiện tại.

“Java quá phổ biến hiện nay, do đó nó sẽ mãi là mục tiêu của hacker cho tới khi bị khai tử hoặc bị vô hiệu hóa” – nhà nghiên cứu bảo mật độc lập Elliott Cutright chia sẻ.
Tuy nhiên, giải pháp cho vấn đề không chỉ đơn giản là từ bỏ Java. “Tôi không chắc rằng chúng ta có thể bỏ rơi Java ngay cả khi đó là điều chúng ta mong muốn. Mặc dù hiện nay Java đã không còn quá phổ biến như trong quá khứ, nhưng nó vẫn rất thông dụng và khó có thể bị bỏ rơi”. – Cutright cho biết.
Một minh chứng đó là rất nhiều các lập trình viên Android thường dùng tới rất nhiều công cụ phát triển yêu cầu máy của họ phải cài đặt Java. Chính điều này khiến cho các lập trình viên Android thường đối mặt với các nguy cơ bị hacker lợi dụng. Tuy nhiên, 1 lưu ý rằng bản thân Android không bị ảnh hưởng từ các lỗ hổng Java, bởi HĐH này, bởi Android chỉ chạy trên phần mềm có nguồn gốc từ plugin này mà thôi. Trình duyệt Android cũng không cần tới Java để khởi chạy. Thêm một thực tế rằng nhiều doanh nghiệp không có ý định nâng cấp lên phiên bản Java mới, bởi điều đó sẽ làm ảnh hưởng, khiến các phần mềm cũ không tương thích với các phần mềm của họ.
Cách để bảo vệ an toàn cho mình, tránh các nguy cơ bảo mật từ Java theo các chuyên gia bảo mật, đó là vô hiệu hóa Java trên duyệt của PC. Người dùng có thể gỡ Java trên trình duyệt chính, và bật Java trên một trình duyệt phụ để dùng trong các trường hợp cần tới plugin này khi duyệt web. Đó là cách giải quyết có tính chất tạm thời. Một giải pháp mang tính lâu dài sẽ phụ thuộc vào Oracle sẽ hợp tác với các hãng bảo mật như thế nào để cùng nhau làm giảm bớt các nguy cơ bị tấn công cho người dùng.
“Thật nản lòng là chúng tôi không được sở hữu một bản sao lỗ hổng Java trong vụ tấn công vào Apple mới đây” – chuyên gia bảo mật của F-Secure là Sean Sullivan chia sẻ. “Đáng ra nếu có bản sao lỗ hổng, chúng tôi đã có thể tiến hành nhiều thí nghiệm. Oracle nên chia sẻ với các công ty bảo mật những lỗ hổng như vậy để tất cả cùng nhau giúp người dùng Java tránh khỏi các nguy cơ nhưng họ đã không làm vậy”. Họ chỉ đơn giản là chờ các công ty bảo mật phát hiện ra lỗ hổng, công bố trên truyền thông, rồi sau đó tung bản vá. Oracle cần cải thiện mối quan hệ của mình với cộng đồng và cần đưa ra các giải pháp xử lý hiệu quả hơn trong tương lai”.
Cách khắc phục hậu quả của Oracle với Java cũng giống như cách Adobe làm với Flash (cũng là 1 plugin trình duyệt) trước đây. Tuy nhiên, trường hợp của Adobe đã thay đổi từ cách đây 2 năm. Adobe đã tham gia vào chương trình MAPP, 1 chương trình do Microsoft sáng lập nhằm giúp các công ty bảo mật có thể truy cập vào các lỗ hổng để đưa ra cách khắc phục. “Với những thông tin được cung cấp, chúng tôi có thể có sự chuẩn bị tốt hơn trong việc nhận dạng các lỗ hổng và làm giảm thiệt hại do hacker gây ra” – Sullivan cho biết.
Trong tương lai, HTML 5 có thể sẽ là niềm hy vọng lớn nhất, là cứu cánh để người dùng không còn bị phụ thuộc vào các plugin như Java và Flash. Tuy nhiên, hiện tại thì các plugin như Java vẫn còn đang quá phổ biến. Và giải pháp để giảm thiểu nguy cơ bị hacker khai thác, phụ thuộc vào cả người dùng lẫn cả công ty sở hữu Java là Oracle mà thôi.
Theo GenK

Comments

comments

Thông báo về các websites, groups, blogs GIẢ MẠO VangAnh và TTXVA

Các tình yêu ủng hộ VangAnh và TTXVA thật, tẩy chay và chống giả mạo nhé, thx!

Comments (0)




Tìm Tin Tức
diemtin

Điểm tin Thứ Năm 24/4/2014

Bản tin hàng ngày được đăng vào lúc 8h sáng Những tin tức nổi bật sẽ được post trực ...
Tin Nổi Bật Trong ngày
Find us on Facebook
nhansinh

Dự án quốc kỳ Việt Nam thế kỷ XXI

TTXVA.ORG Kể từ ngày 8 tháng 12 năm 2013, BBT TTXVA đã thiết lập kênh chia sẻ những ...
caubenhatban

Phát ngôn của quan chức Việt và bức thư tâm tình của cậu bé Úc

TTXVA.net Chắc hẳn chúng ta vẫn còn nhớ trận động đất kinh hoàng tại Fukushima Nhật Bản, tháng ...
students

Thế hệ Quả Dâu Tây của Đài Loan

TTXVA.net Trên Foreign Policy có bài viết: Taiwan's Squishy Youth Get Fierce (Những đứa trẻ "mong manh" của ...
Screenshot from 2014-04-03 15:29:32

Thư của Người Trong Cuộc‏

TTXVA.net   Kính chào BBT Thông tấn xã Vàng Anh Được biết trang web của TTX Vàng Anh rất có ...
太陽花學運

Cách mạng Hoa Hướng Dương : Toàn cảnh

TTXVA.NET Làn sóng biểu tình của giới học sinh Đài Bắc bùng nổ ngày 18 tháng 3 năm ...
naked-sushi2

Naked Sushi

                                                                                                                                               
BAUKIEN-BAOCHI

VIDEO Bầu kiên kêu oan đề nghị triệu tập nhân chứng quan trọng

    14h05': Hội đồng xét xử bước vào phòng xử án bắt đầu phiên xét xử buổi chiều. ...
NINHTHUAN-BIEUTINH-TITAN1

VIDEO NINH THUẬN BIỂU TÌNH KINH ĐỘNG TẤN CÔNG CẢNH SÁT CƠ ĐỘNG

TTXVA.NET       Trong vòng vài ngày qua nhiều video clip được người dân Ninh Thuận tự quay phim và ...
BIEUTINH-NINHTHUAN5

VIDEO NINH THUẬN BIỂU TÌNH TẠI UBND PHẢN ĐỐI BẮT DÂN

    Người dân phản ánh nguyên nhân biểu tình    
Tin Nổi Bật Trong Tuần
NGUYENHUUTHANG-DUONGSAT

“Cái tí” của ngài Cục trưởng

  Trong thời gian qua, việc đội giá, đội vốn của các dự án đã như chuyện thường ...
DUONGCHIDUNG-NGUYENTANDUNG

Luật sư nói Dương Chí Dũng phạm tội do cơ chế!

  Sáng 24/4, phiên tòa phúc thẩm xét xử bị cáo Dương Chí Dũng và đồng phạm tiếp ...
DUONGSAT-GOLF

Tàu lửa chạy trong đường ray độc quyền

  “Trong báo cáo cuối năm có 97,5% số cán bộ, công chức ngành hoàn thành xuất sắc ...
dichsoi

Trẻ chết vì sởi, bình thường hay bất bình thường?

Những đứa trẻ bị bệnh sởi chỉ biết khóc cho đến lúc lịm đi rồi chết, không ...