Home / Seguridad / ¿Hora de despedirse de Java?

¿Hora de despedirse de Java?

 

Análisis: El lenguaje de programación se ha convertido en uno de los eslabones más débiles en las defensas de PC y Mac contra amenazas externas, y está quedando lentamente -y con razón- en el abandono. ¿Es hora de despedirse de Java? Los expertos dicen que sí.

Java, el lenguaje de programación diseñado para hacer la Web más divertida e interactiva, se ha convertido en uno de los eslabones más débiles en las defensas de unas PC o Mac contra amenazas externas. Consideren la más reciente vulnerabilidad de Java, una debilidad que en la actualidad vienen explotando  los distribuidores de malware: Cuando Oracle, el creador de Java, lanzó una actualización de software para corregir el software, los analistas de seguridad reportaron que incluso el código “recién salido del horno” contenía vulnerabilidades adicionales.

Pero los problemas de seguridad más recientes con Java distan de ser únicos. La firma de seguridad Sophos, por ejemplo, culpa a la vulnerabilidad subyacente de Java por los ataques que realizó el malware Flashback el pasado abril, infectando a una de cada cinco Macs.

Los riesgos no superan a las ventajas, dicen los expertos en seguridad: “Diría que el 90 por ciento de los usuarios ya no necesitan Java”, dice Dominique Karg, fundadora y jefa de hacking en AlienVault, una compañía de software de seguridad. “Me considero una ‘power user’, y la última y única vez que me di cuenta de que tenía Java isntalado en mi Mac fue cuando tuve que actualizarlo”.

Si posees una PC conoces esa sensación de inseguridad cuando te piden actualizar tu PC Windows por enésima vez. Podría ser sólo una interrupción moderada, pero es un recordatorio mensual de que tu computadora, y la información personal que contiene, sigue siendo un blanco para los criminales.

Con los años, tanto Apple como Microsoft han endurecido sus sistemas de defensa. El sistema operativo de Mac se ha mantenido casi a prueba de balas en cuanto a vulnerabilidades, y la compañía ya no distribuye nuevos dispositivos con Java pre-instalado. Microsoft ha hecho presión para eliminar vulnerabilidades a nivel de sistema operativo desde que el brote del gusano Conficker a finales del 2008, y ningún otro gusano comparable ha atacado los sistemas Windows desde entonces.

Mozilla y Opera, así como Microsoft, creadores de Internet Explorer, se han pasado la mayor parte de la última década reforzando sus navegadores mediante una imparable serie de actualizaciones. Mozilla, por ejemplo, lista 2237 bugs –no todos de seguridad– que fueron resueltos en la versión 15 del navegador Firefox, publicado el 28 de agosto.

Pero aún si tu sistema operativo y tu navegador están inspirados en Fort Knox, los tipos malos siempre parecerán encontrar una nueva grieta en la armadura.

Java: El eslabón más débil en la cadena de seguridad

Ahora que es más difícil penetrar los navegadores y el sistema operativo, los ladrones de datos han cambiado sus tácticas, apuntando a los dos eslabones s débiles restantes: Los plugins o extensiones externos para el navegador, y los propios usuarios. En cuanto a plugins externos se refiere, Java sigue siendo explotado como un vehículo de ataques “drive-by” automatizados, a menudo hechos posibles por kits de bajo consto vendidos en el mercado negro. Forbes publicó una lista de precios en marzo, demostrando cuánto pagan los compradores malintencionados por tener acceso exclusivo a una vulnerabilidad nueva, denominada de “día cero”. La recompensa de US$ 40 a US$ 100 mil es más que suficiente motivación para que los creadores de código empiecen temprano y trabajen hasta tarde.

Parte del atractivo es la ubicuidad de Java. “Es casi un cumplido para los desarrolladores de Java”, dice Steve Santorelli, director de alcance global para Team Cymru, una organización sin fines de lucro de investigación en seguridad con sede en Florida. Java, a diferencia de cualquier otro plugin para navegador, corre sobre casi cada sistema operativo imaginable. “Se reduce a la economía del malware”, dice Santorelli. Los autores de malware quieren el retorno más grande posible sobre sus inversiones en desarrollo, lo que significa malware que ataque al mercado más grande posible.

Java responde a tal inversión, aunque lo hace en maneras que (probablemente) hagan estremecerse al CEO de Oracle, Larry Ellison. Oracle heredó Java cuando adquirió Sun Microsystems en 2009, pero la compañía no estaba dispuesta a comentar para este informe.

Arreglando, conectando y parchando Java

Mientras que Oracle (y Sun antes que ellos) ofrece actualizaciones regulares para solucionar problemas de seguridad de Java, obtener estas actualizaciones e instalarlas en las computadoras y dispositivos de todos esos millones de usuarios finales sigue siendo todo un reto.

La firma de seguridad Secunia, que monitorea el software instalado en PCs de usuarios finales, reporta cada tres meses sobre las vulnerabilidades de Java, y qué tan rápido se corrigen. La Security Factsheet for Java (“Hoja de Datos de Seguridad para Java”) del cuarto trimestre reporta que en 2011 Oracle lanzó cinco boletines de seguridad, advirtiendo de 58 vulnerabilidades que involucraban a Java. Los parches o actualizaciones estaban disponibles el día de la publicación del boletín en sólo tres de los cinco casos. Durante el 2011, 78 por ciento de los ataques de malware abordaban aplicaciones externas vulnerables, incluyendo a Java así como Flash y Acrobat de Adobe.

Dejar versiones viejas y vulnerables de cualquier software conectado a Internet en una computadora es una receta para el desastre.

“En muchos casos, la capacidad incorporada de actualizarse de Java falla de lleno, dejando a los usuarios normales varados”, dice Darien Kindlund, jefe científico senior en la compañía anti-malware FireEye.

“Desde la adopción generalizada de Windows 7 de 64 bits, Java (y otras extensiones, como Flash) sufren de ‘fraccionalización 32 bits/64 bits’”, explica Kindlund. “Sólo porque instalas una versión parchada de 64 bits de Java, no significa que estás completamente protegido, si una versión vulnerable de 32 bits de Java sigue instalada en el sistema (o viceversa)”.

Karg, de AlienVault, anota que Java ya no es, con razón, parte de muchos sistemas operativos. “Java no debería venir pre-instalado con sistemas operativos comunes”, dice Karg. “No viene con Linux por defecto, y la última versión de Windows tampoco lo incluye en el paquete”.

Ahora, a unas semanas del brote de Flashback que golpeó a OS X, es muy comprensible que Apple lance sus propias actualizaciones de Java, y esto a veces significa que los usuarios de Mac no tienen acceso a la última versión por semanas o meses después de sus contrapartes que usan Windows.

Java tropieza

Esto siempre deja abierta la cuestión de si los usuarios finales deberían dejar Java en su computadora o quizá desinstalarlo por completo en lugar de actualizarlo.

“Si usas tu PC de casa para Facebook y YouTube, sigues siendo de interés para los malhechores, pero nada como el nivel de interés de alguien que administra una planilla de empleados o las finanzas de un negocio”, dice Santorelli.

Sin embargo, Java corre el entorno que está debajo del sistema operativo Android, y es usado por compañías como Citrix para lanzar sus servicios GoToMeeting, GoToWebinar y GoToMyPC cuando se carga desde un navegador.

Algunos expertos recomiendan la virtualización como una salida para las empresas que tienen que usar servicios basados en Java. Instalarlo en una máquina virtual lo mantiene a suficiente distancia de los sistemas críticos. El usuario doméstico, sobre todo uno enfocado en Facebook y la Web, podría ser capaz de prescindir de Java del todo.

Los fans de HTML 5 apuntan a este lenguaje como alternativa para ofrecer las funciones multimedia que Java permitía antes en desarroll oWeb. Es un punto central tanto del desarrollo de Adobe como del trabajo de AT&T, y parece estar ganando impulso este año, aunque busca reemplazar a Flash más que a Java.

La pregunta de si debemos conservar Java se reduce a “tu perfil de riesgo, y qué tan crítico es este sistema”, dice Santorelli del Team Cymru. “Si las consecuencias de una intromisión pudieran ser catastróficas”, desinstala Java.

PCWorld – 3/9/2012

 

Comments

  1. [...] Esto no quiere decir que los proveedores de sistemas operativos o navegadores estén libres de culpa. Especialmente para Microsoft. Internet Explorer ofrece muchas oportunidades para los atacantes, y ha sido un blanco popular para abrir brechas y malware. Pero, a medida que Microsoft y otros desarrolladores de navegadores mejoren sus repertorios y creen navegadores más seguros y fuertes, los agresores empiezan a trastear con los siguientes puntos débiles, y este punto débil es a menudo una aplicación de terceros. [...]