JAVA-haavoittuvuus poistuu selaimesta

Kuten olette huomanneet niin tässä sitten on huomattu, että JAVA-laajennus aiheuttaa tietoturvahaavoittuvuuden, koska tuon ohjelmakoodin avulla voidaan rakentaa sellainen "JAVA-torni", jonka avulla voidaan esimerkiksi tietokoneen sekä puhelimen tietoja onkia. Temppu perustuu siihen että selaimeen asennetaan JAVA-ohjelma tai apletti, ja sen avulla tehdään käänteinen injektio, jolla puhelimen tai tietokoneen selaimen välimuistissa olevat tiedot saadaan kopioitua verkon yli. Eli kuten kerroin niin käänteinen injektio tarkoittaa sitä, että tietokanta ohjataan Internetin yli jollekin hakkerille, ja Injektio taas tarkoittaa sitä, että tietokantaan syötetään tietoa esimerkiksi salasanojen vaihtamisen yhteydessä.

En tiedä että onnistuuko tällä tavalla pääsy tietokoneen kovalevyille, ja koskeeko tuo JAVA-haavoituuvuus vain selaimen välimuistia tai selaustietoja. Se kuinka helposti tuollaisen "JAVA-loision" sitten saa tietokoneelleen on kuitenkin omasta mielestäni hiukan käyttäjästä kiinni. Tuo JAVA-ohjelma asentuu yleensä toisen ohjelman kylkiäisenä, ja se lähettää tietoja vain niin kauan kuin kyseinen ohjelma on tietokoneen muistissa, ja se saattaa poistua pelkästään selaimen sulkemisen yhteydessä.

Yleensä selain kertoo, jos JAVA käynnistetään ja itse olen niitä ilmoituksia nähnyt lähinnä pankkien kirjautumissivuilla, mutta nykyään tuollaista tekstiä ei enää yleensä ole missään tullut vastaan. JAVA:lla tehtyjen ohjemien etuna toki on se, että tuolla ohjelmointikielellä ei voida kirjoittaa varsinaista "tappokoodia", joka tuhoaa tietoja koneen kovalevyiltä. Se johtuu siitä, että JAVA:aa ajetaan erityisen "JAVA-moottoriksi" kutsutun ohjelman avulla, joka suorittaa ensin tuolle koodille tarkastuksen, mikä suodattaa sen, niin että kyseinen koodi ei voi vahingoittaa tietokoneen tiedostoja. Tämän ominaisuuden takia tuo ohjelmointikieli on erittäin yleinen oppilaitoksissa käytettävä työkalu, jolla koulutetaan ohjelmoijia, ilman että tietokoneet joudutaan joka kerta asentamaan uudelleen, jos tuo ohjelmoijakokelas sitten tekee vahingossa väärää koodia. Eli JAVA-virukset enemmänkin kalastelevat tietoja, kuin deletoivat kovalevyjä.

Muistakaa että ohjelmointi on verraten vaativaa työtä, ja koska tietokone käsittelee kaikkea syötettä erityisten ASCII-taulukoiden kautta, niin esimerkiksi kirjainkoko on ohjelmoinnissa tärkeä, ja samoin syöteen ohjaaminen SQL-tietokannoille on teknisesti melko vaativaa, koska tuon injektio-osoituksen pitää olla tarkasti oikeassa hakemistossa sekä tiedostossa. Tämä rakenne tekee näet esimerkiksi salasanojen vaihtamisesta käyttäjälle hyvin helppoa. Mutta tuohon ohjelmakoodiin kiinteästi asennetut salasanat on ohjelmoijan melko helppoa tehdä, ja niitä käytetään joskus tehtävänantojen valvontaan. Eli opiskelijan tulee tehdä ohjelma, joka aukeaa hänen opiskelijanumerollaan sekä opettajan antamalla turvasanalla. Näin valvotaan sitä, että ohjelmoijakokelas tekee työnsä itse.