Java è sicuro? Come difendersi dalle minacce più recenti

Se sul vostro personal computer è installato il pacchetto Java ma esso non è stato aggiornato all'ultima versione potreste rischiare di vedere eseguito codice dannoso semplicemente "navigando" sul web.

Se sul vostro personal computer è installato il pacchetto Java ma esso non è stato aggiornato all’ultima versione potreste rischiare di vedere eseguito codice dannoso semplicemente “navigando” sul web. Gli autori di alcuni strumenti software impiegati da una vasta schiera di malintenzionati per mettere a punto codice in grado di far leva su vulnerabilità note nei vari pacchetti software, mantengono costantemente aggiornato l’elenco di lacune di sicurezza presenti nelle varie versioni del pacchetto Java.

Alcune delle vulnerabilità rilevate nel pacchetto Java sono estremamente pericolose perché, se sfruttate da parte di un sito malevolo, possono portare all’esecuzione di codice nocivo all’infuori del browser web superando quelle restrizioni imposte dai meccanismi di sandboxing che molti prodotti oggi utilizzano.

Gli attacchi che fanno leva su vulnerabilità note via a via scoperte nel pacchetto Java si sono dimostrati particolarmente fruttuosi, in termini economici, per gli aggressori. Le ragioni di un così ampio interesse per gli attacchi nei confronti degli utenti di Java risiedono nel fatto che molte persone non sanno di averlo installato, non conoscono come verificare la versione impiegata e come aggiornarla, non sono consapevoli delle impostazioni che permettono (o meno) ai browser vero di farne uso. Per non parlare della popolarità di Java: secondo i dati di Oracle, il prodotto sarebbe oggi installato su oltre 3 miliardi di sistemi a livello mondiale.

Che cos’è Java, quando si utilizza e perché è importante tenerlo aggiornato

Java è un linguaggio di programmazione orientato agli oggetti, derivato dal C++ e messo a punto sotto la guida di Sun Microsystems con un lavoro che iniziò già nel 1991. L’annuncio ufficiale del rilascio di Java fu reso nel mese di Maggio 1995. Dopo l’acquisizione di Sun, messa a segno da Oracle nel mese di aprile 2009 (poi ratificata ufficialmente da parte dell’Unione Europea a fine gennaio 2010), Java è divenuto un marchio registrato della società guidata da Larry Ellisson.

Tra le perculiarità più importanti di Java vi è il fatto di essere indipendente dalla piattaforma e quindi di essere compatibile con piattaforme differenti (slogan “write once, run everywhere“) nonché di essere supportato dai principali browser web.
Un programma Java può essere eseguito su qualsiasi piattaforma hardware-software a patto che sia dotata di un apposito interprete, detto “Java Virtual Machine“.

Java fu inizialmente rilasciato come Java Development Kit 1.0 (JDK 1.0) che comprende sia Java Runtime (la “Virtual Machine” e le librerie di classi), sia gli strumenti di sviluppo (ad esempio, il compilatore Java).
In seguito, Sun Microsystems rese disponibile un pacchetto che integrava esclusivamente gli elementi necessari per eseguire correttamente un’applicazione Java. Tale pacchetto è chiamato Java Runtime Environment (JRE).
Ancora oggi, sebbene Java sia notevolmente cresciuto, con il rilascio di molte nuove versioni, l’utilizzo degli acronimi JDK e JRE per differenziare i due pacchetti è restato invariato.

I programmi Java che possono essere eseguiti da browser web si chiamano applet e sono inseribili nelle pagine Internet utilizzando apposite tag. Per fruire di un’applet Java è sufficiente che sul sistema in uso sia installato il “Java Runtime Environment” (JRE).

Java è ampiamente utilizzato anche sui dispositi mobili come telefoni cellulari. La versione J2ME viene spesso impiegata su telefonini che dispongono di risorse hardware limitate (memoria, storage, etc…).

Molti utenti, tuttavia, pur avendo installato Java sul proprio personal computer (talvolta viene fornito insieme con alcune applicazioni; ad esempio OpenOffice.org), non provvedono ad aggiornarlo tempestivamente e a rimuovere le versioni più datate del pacchetto.
Navigare sul web avendo le applet Java abilitate ed utilizzando una vecchia versione del linguaggio è assolutamente sconsigliato.

Come confermato anche da Secunia, azienda danese che da anni si occupa di sicurezza informatica segnalando la scoperta di nuove vulnerabilità nei vari software disponibili sul mercato, è cosa comune che sui sistemi degli utenti siano presenti versioni ormai superate della “Java Virtual Machine”. Microsoft stessa ha di recente sottolineato quanto sia importante “aver cura” della versione di Java installata sui propri sistemi. I tecnici del colosso di Redmond hanno infatti rilevato un’incredibile ondata di attacchi nei confronti di Java. Gli attacchi nei confronti di Java avrebbero ampiamente superato quelli che sfruttano vulnerabilità insite nei prodotti di Adobe per la lettura e la gestione di documenti in formato PDF (da sempre ritenuti una delle principali fonti di infezione, nel caso in cui si utilizzino versioni obsolete di Adobe Reader od Acrobat).

La presenza di Java sul sistema in uso non è necessaria a meno che non si abbia la necessità di eseguire applet sviluppate utilizzando tale linguaggio di programmazione oppure programmi gestionali; numerosi software pubblicati online dal Ministero e destinati a consulenti, professionisti e cittadini sono realizzati in Java. A mero titolo esemplificativo, se si fa uso di Java solamente per avviare i programmi gestionali dell’Agenzia delle Entrate, il consiglio è quello di disabilitare o disinstallare tutti i plugin Java per i vari browser web (vedere più avanti). In questo modo, codice Java presente in una qualunque pagina web non sarà più caricato e non si correranno rischi.

Infine, è bene ricordare come Java sia differente da JavaScript e non abbia nulla in comune con il linguaggio di scripting utilizzatissimo in tutte le pagine web. La denominazione similare è dovuta soltanto ad un accordo che anni fa siglarono le ormai defunte Netscape e Sun; una manovra pubblicitaria che negli anni seguenti ha contribuito ad ingenerare solamente confusione tra gli utenti. Il codice di JavaScript, tra l’altro, si presenta in una forma immediatamente riconoscibile, in chiaro, esaminando il sorgente della pagina web. Il codice Java, viceversa, per poter essere eseguito dev’essere compilato. JavaScript non necessita della presenza di alcun plugin mentre Java sì.

Il pericolo che arriva dagli exploit “zero-day”

Con l’espressione “zero day” vengono comunemente definiti gli attacchi informatici che hanno inizio “nel giorno zero” ossia dal momento in cui è scoperta una falla di sicurezza in un programma specifico. Questo tipo di aggressioni, se ben studiate, possono mietere molte vittime proprio poiché il produttore dell’applicazione vulnerabile non ha evidentemente ancora avuto il tempo di rilasciare una patch correttiva.

Il pacchetto Java è stato purtroppo spesso protagonista di questo tipo di situazioni. Ne è l’ennesima riprova quanto sta accadendo in questi giorni. Sono infatti venute alla luce due pesanti vulnerabilità in Java 7.0 update 6, la release più aggiornata del software di Oracle, che potrebbero facilitare attacchi informatici di svariato genere tesi a sottrarre informazioni personali o a danneggiare i dati memorizzati sul sistema.

La situazione è estremamente critica perché, se da un lato Oracle non ha ancora pubblicato una patch risolutiva, gli sviluppatori di malware stanno già iniziando a sferrare i primi attacchi basati sui dettagli tecnici emersi nelle scorse ore. Gli autori di BlackHole, uno dei più famosi strumenti di attacco, hanno già aggiornato il proprio software inserendo il codice exploit in grado di far leva sulle “debolezze” di Java 7.0.
Alcuni siti Internet malevoli stanno già iniziando a diffondere il codice che consente di aggredire il sistema client di qualunque utente che si colleghi alla pagina infetta da un sistema con il pacchetto Java 7.0 preinstallato.

Come verificare se Java 7.0 è installato e se può eseguire applet dal browser web

Puntando il browser a questo indirizzo, è possibile controllare la versione del pacchetto Java (tipicamente Java JRE) eventualmente installata sul proprio sistema.
Il messaggio “Nel sistema non è stata rilevata l’esecuzione di Java” sta a significare che il browser in uso non è in grado di eseguire applet Java. Qualunque tentativo, da parte di un sito web malevolo, di sfruttare una vulnerabilità insita nel pacchetto Java, quindi, non potrà andare a buon fine.

Viceversa, nel caso in cui si fosse installata una qualunque versione di Java e questa risultasse attiva e funzionante, si otterrà un messaggio simile al seguente:

Come disabilitare Java 7.0 sino al rilascio di un aggiornamento ufficiale

La soluzione temporanea, rispetto al problema delle vulnerabilità di sicurezza appena venute a galla, sintanto che Oracle non provvederà alla pubblicazione di un aggiornamento risolutivo, consiste nella disinstallazione del software oppure nella sua disabilitazione temporanea.

La procedura da seguire per disattivare l’esecuzione delle applet Java dai vari browser web è differente ma consigliamo di applicarla per tutti i prodotti installati sul personal computer.

Gli utenti di Firefox possono procedere accedendendo al menù Strumenti, Componenti aggiuntivi (per provocare la comparsa della barra del menù è sufficiente premere il tasto ALT), cliccando sulla scheda Plugin quindi disattivando tutte le voci relative al pacchetto Java.

Tornando a visitare questa pagina (non è neppure necessario il riavvio del browser), il sito di Oracle mostrerà un messaggio che indica la mancata rilevazione del pacchetto Java.

In Chrome, è sufficiente digitare about:plugins nella barra degli indirizzi del browser e cliccare sui link Disabilita in corrispondenza dei plugin Java.

I passaggi che gli utenti del browser Opera debbono applicare sono assolutamente identici: basta infatti digitare about:plugins nella barra degli indirizzi e cliccare su Disabilita in corrispondenza dei plugin di Java:

La procedura da seguire per disattivare Java in Internet Explorer è leggermente più complessa. La via più semplice da percorrere consiste nel portarsi all’interno della cartella d’installazione del pacchetto di Oracle (generalmente, C:\Program Files\java\jre7\bin), cliccare con il tasto destro del mouse sul file javacpl.exe quindi selezionare Esegui come amministratore.

Portandosi nella scheda Avanzate, si dovrà cliccare sulla Java predefinito per browser quindi togliere il segno di spunta dalla casella Internet Explorer.
Per disattivare la casella Internet Explorer si dovrà selezionarla quindi premere la barra spaziatrice sulla tastiera. Per confermare la modifica, si dovrà fare clic sul pulsante OK in basso.

Su Mac OS X, gli utenti di Safari debbono accedere alle preferenze, alla scheda Sicurezza quindi disabilitare l’utilizzo di Java.

Non appena i tecnici di Oracle avranno pubblicato la nuova versione di Java, capace di risolvere le vulnerabilità messe a nudo in questi giorni, si potrà provvedere alla riabilitazione dei plugin.

Nota bene: Le lacune di sicurezza che alcuni aggressori hanno cominciato a sfruttare, sembra siano presenti solo in Java 7.0 update 6 e release precedenti. Gli utenti di Java 6.0 dovrebbero essere, per il momento, al sicuro. È comunque bene accertarsi di utilizzare sempre la versione più aggiornata del pacchetto Java.

Rimuovere completamente i plugin

Nell’articolo abbiamo visto come disabilitare manualmente uno o più plugin. In particolare, abbiamo spiegato come disattivare i plugin di Java sintanto che Oracle non avrà rilasciato una versione del pacchetto software sicura, esente da problematiche conosciute.

Chi volesse sbarazzarsi completamente dei plugin, facendo in modo che non figurino più nell’elenco visualizzato nell’apposita schermata del browser (digitando ad esempio about:plugins nel caso di Firefox, Chrome ed Opera), può seguire le indicazioni che a suo tempo abbiamo illustrato nell’articolo Java: verificare quali versioni sono installate. Come gestirle.

La procedura si concretizza nell’eliminazione, dal disco fisso, dei file che governano il funzionamento del singolo plugin. Per scoprirne il percorso completo, basta fare riferimento alla finestra about:plugins. Nel caso di Firefox, tuttavia, bisognerà attivare la direttiva plugin.expose_full_path mentre nel caso di Chrome bisognerà fare clic sul link Dettagli nella finestra about:plugins.

Suggeriamo di mantenere attiva solamente l’ultima versione di ciascun plugin utilizzato qualora il browser dovesse indicarne in elenco più di una.
In Google Chrome, osservando il plugin Adobe Flash Player, è possibile notare come il programma, di solito, presenti più versioni (indicazione N files):

Il nostro consiglio è quello di lasciare attiva solo la più recente disabilitando le altre (clic sul link “Dettagli“).
Per quanto riguarda Adobe Flash Player, in Chrome, suggeriamo di mantenere abilitata la versione che contiene, nel percorso del file, la denominazione PepperFlash. Si tratta della versione di Flash Player direttamente integrata nel browser di Google.

Ti consigliamo anche

Link copiato negli appunti