Java - tietoturvayhtiön suurin murhe

Internetselaimen sisällä toimiva Java-ohjelmiston osa alkaa olla tietoturvayhtiöiden suurin murhe. Jopa 80 prosenttia hyökkäyksistä koneille tulee sen takia, että koneissa on vanha Java-ohjelma.

Kotimaa
Ruutukaappaus Java-ohjelmiston lataussivusta.
Oracle on julkaissut Java-ohjelmistoon useita päivityksiä, joiden kerrotaan paikkaavan tietoturva-aukkoja.Java / Yle Uutisgrafiikka

Tietokoneviruksia tai erilaisia haittaohjelmia levittävät rikolliset etsivät koko ajan uusia keinoja vallata käyttäjien koneita tai ujuttaa niihin haittaohjelmia.

Yksi suurimpia murheita - tai helpoin keino murtautumiseen - on vanhentunut Java-ohjelma. Tietoturvayhtiö F-Securen mukaan valtaosa, jopa 80 prosenttia torjuntatöistä johtuu juuri vanhasta Javasta.

- Javasta löytyy koko ajan turvareikiä. Sitä mukaa, kun Oracle tekee päivityksiä Javaan ja pyrkii tukkimaan niitä, niin uusia löytyy välittömästi, kertoo F-Securen tietoturvajohtaja Mikko Hyppönen.

Hyppösen mukaan ongelma on nimenomaan Javan webbilaajennuksessa.

- Se on selaimen sisällä oleva osa, jonka avulla webbiselaimet pystyvät ajamaan Java-ohjelmia koneella.

Käytännössä verkkohyökkääjät tunkeutuvat jollekin suositulle verkkosivustolle ja lataavat sinne haittaohjelmakoodin. Sitten koodi tarkistaa kaikkien sivustoilla käyvien koneiden Java-version. Jos se on vanha, lähetetään koneelle ohjelma, joka ottaa käyttäjäkoneen haltuunsa ja saastuttaa sen haittaohjelmalla.

- Se voi olla joku pankki- tai lunnastroijalainen tai luottokorttien numeroita vievä troijalainen. Yleensä se on joku rahaa tekevä hyökkäys, kertoo F-securen tutkimusjohtaja Mikko Hyppönen.

Muitakin hyökkäysreittejä on, mutta Hyppösen mukaan Java on yleisin.

"Pidä huoli tietoturvasta"

Tietoturvajohtaja Mikko Hyppösen mukaan ohje ongelmien välttämiseksi on se perinteinen.

- Huolehditaan, että koneesta on varmuuskopiot ja koneen komponentit ja ohjelmat ovat ajan tasalla. Myös siitä Javasta pitää olla uusin versio.

- Ja se viimeisin on toimiva virustorjunta, joka pystyisi estämään hyökkäykset, vaikka muita puutteita koneella olisikin.

Hyppönen itse poistaisi Javan koneelta kokonaan.

Kaikille poisto ei ole mahdollista. Esimerkiksi Danske Bankin verkkopankin käyttö vaatii Javaa. Myös jotkin pelit ja tiettyjen tietokonesovellusten käyttö voi vaatia Javan käyttöä.

F-Securen lisäksi ainakin Viestintävirasto on varoittanut Javan haavoittuvuudesta.