Güvenlik 14 OCAK 2013 / 15:40

Java’nın güvenlik açığı ne ifade ediyor?

Oracle'ın güncellemesiyle de son bulmayan Java güvenlik açığı krizi neden bu kadar büyüdü? Java sürekli internete bağlı bizler için neden bu kadar önemli? Peki güncellemeden sonra Java güvenli mi?



Java programlama dili internetin temeli oluşturuyor. Neredeyse tüm elektronik cihazlar da bir şekilde Java programlama dilinden nasibini aldı. Bilgisayarlar ve mobil cihazlar Java’nın sadık kullanıcıları. Bunun dışında DVD oynatıcılar, şans oyunu makineleri, medikal cihazlar, park ödeme istasyonları ve otomobil navigasyon sistemleri gibi birçok örnek daha verilebilir. İlk olarak Sun Microsystems tarafından geliştirilen Java, şu anda Oracle’ın geliştirmesi altında hayatına devam ediyor.

Bilindiği üzere geçtiğimiz hafta ABD’nin güvenlik birimlerinden biri Java’nın tüm sürümlerinde önemli bir güvenlik açığı bulunduğunu açıkladı. Eğer açıklama doğruysa, hacker’lar bireylerin bilgisayarları, cep telefonları ya da herhangi bir cihazlarına erişerek tüm verilerini ele geçirebilir. Bunun yanında hacker isterse kullanıcının sahip olduğu cihazdaki video kamerayı da aktive edebilir. Teknik detaylar veren bazı güvenlik uzmanlarına göre, güvenlik açığından faydalanmak için gerekli yollar da internet üzerinde dolaşıyor. Gerekli yama gelmeden herhangi bir bilgisayardaki ya da internete erişilen herhangi bir cihazdaki Java’nın kullanımına son vermek gerektiği belirtildi.

Bilgisayarlar ve cep telefonları internete erişirken Java’dan yararlanıyor. Örneğin, yatırım kararlarını internet üzerindeki sitelerden takip eden kişilerin bu sitelerde herhangi bir işlem yapabilmesi için Java’ya ihtiyacı bulunuyor. Eğer burada Java kapatılırsa tüm sistemin sona ermesi ve işlemlerin telefon hattı üzerinden yürütülmesi gerekir. Bu iş sürelerinin uzaması ve güvenlik risklerinin farklı bir boyuta ulaşmasına yol açar. Eğer Java kapatılmazsa ne gibi bir tehdit olduğunundan biraz önce bahsetmiştik.

Oracle’dan güncelleme geldi ama yetersiz bulundu

Oracle tüm bu karışıklıklar çıkmasın diye bir güncelleme yayınlayarak kullanıcıları rahatlattı denebilir. İki güvenlik açığının giderildiğinin belirtildiği güncellemeyle birlikte Java Security Level ayarlarının orta seviyeden üst seviyeye çıkarıldığı açıklandı. Buna göre, kullanıcıların imzasız bir Java uygulaması açmadan önce her zaman onayına başvurulacak. (Güncellemeyi indirmek için http://www.oracle.com/technetwork/java/javase/downloads/index.html adresini kullanabilirsiniz.)

Yayımlanan yama Java’nın güvenlik fiyaskosunu şimdilik sona ermiş gibi görünüyor. Yine de Apple ve Mozilla gibi şirketler önceki sürüm Java’ların engellendiğini duyurdu. Kullanıcıların yeni sürüm Java’ya geçmelerini zorlayan bu uygulamayla kullanıcıların güven duyacağı bir web deneyimine kavuşması hedefleniyor. Güvenlik uzmanlarına göre gerçekleştirilen güncelleme sistemleri korumaya yetmeyecek.

Geçtiğimiz yıl Java'da birçok açık bulan Polonya Güvenlik Keşifleri ekibinden Adam Gowdiak, kritik güvenlik açıkları karşısında güncellemenin işe yaramadığını ifade etti. "Şu anda Java'nın yeniden güvenle çalıştırılabileceğini söyleyemeyiz" diyen Gowdiak, Java kullanımı konusunda özellikle şirketleri uyardı.

Şirketlerdeki kritik güvenlik açıklarının tespit edilmesini sağlayan Rapid7 şirketinin güvenlik bölümünün başında yer alan HD Moore, "Şu an emin olabileceğimiz tek şey Java'nın her zaman güvenlik zafiyeti yaşadığını kabul etmektir" dedi. Görünen o ki, şirketlerin güvenlik yöneticileri ya da BT bölümündeki kişilerle bir araya gelerek Java konusunda karar vermeleri gerekiyor.