Mais de 50% dos utilizadores estão a usar uma versão da tecnologia com mais de dois anos, diz um estudo da Websense Security Lab. A 18 de Junho há uma nova actualização, mas muitas empresas ainda nem instalaram a última (de 16 de Abril).
A tecnologia Java instalada em múltiplos computadores tem sido um “jackpot” para os hackers nos últimos meses e um estudo da Websense Security Lab explica porquê: mais de 50% dos utilizadores estão a usar uma versão da tecnologia com mais de dois anos.
O estudo incidiu sobre mais de mil milhões de terminais monitorizados pela Websense Security Lab. Descobriu também que 75% de todos os utilizadores estão a executar uma versão com seis meses ou mais.
Embora a Oracle tenha agendada uma actualização crítica de segurança para Java em 18 de Junho, é improvável que haja uma “corrida” para instalá-lo. Perto de 93% dos utilizadores ainda nem instalou a última actualização crítica de segurança disponibilizada a 16 de Abril.
O fabricante de software antivírus Avast revelou resultados semelhantes quando fez um estudo sobre os seus clientes em Março. Apenas 4% tinham a versão mais actualizada da Java, comentou o CTO do fabricante, Ondrej Vlcek.
Embora o facto de uma organização não gostar de manter o seu software actualizado, confunda a comunidade de segurança, algumas empresas não têm a mesma visão. “Muitas redes corporativas têm aplicações internas dependentes de determinadas versões da Java, e aquelas já deixaram de funcionar devido aos ‘patches’”, explica o gestor de marketing da Websense Security Lab, Bob Hansmann.
“Portanto, muitas dessas práticas são intencionais “, explica, “É por desenho, mas cria uma enorme exposição”.
Os procedimentos de actualização nas empresas também podem ser uma forte barreira às correcções, diz Ross Barrett, gestor sénior de engenharia de segurança na Rapid7. “Quando o actualizador Java é executado, pode exigir privilégios de administrador”, explica.
“E muitas empresas não querem dar esse tipo de credenciais aos seus colaboradores médios”. “Isso significa que alguém do departamento de TI tem de interagir com o sistema para aplicar a correcção, um processo demorado e ineficiente”, disse Barrett.
Mesmo com privilégios há o medo
Mas mesmo com liberdade para fazer actualizações muitos colaboradores não o vão fazer quando solicitados. “O utilizador final médio financeiro ou do marketing vai lembrar-se de que o departamento de segurança disse para não clicar em coisas”, explica Barrett. “Mesmo as organizações dependentes da Java não têm instalada uma solução de correcção abrangente para suportar a Java.”
Com apenas cerca 7% dos sistemas utilizadores de Java a manterem-se actualizados, é fácil para os hackers tirarem proveito das muitas vulnerabilidades da Java , há muito existentes, considera o responsável.
Até mesmo os pequenos atrasos na actualização de sistemas poderão ser caros para uma empresa. Isso porque uma aplicação nociva pode agir muito rapidamente. “Mais da metade do malware consegue comunicar com a sua plataforma de controlo na Internet nos 60 segundos seguintes à infecção”, disse Hansmann.
(John P. Mello/CSO)