Злонамеренные апплеты Java. Они вызывают в воображении образы мощных и пагубных приложений, ревущих в вашем сетевом городке, давая выход разрушительной силе, а вы, застигнутый врасплох шериф ИТ, беспомощно присутствуете при этом.
Однако многие обозреватели сомневаются, действительно ли эти злонамеренные апплеты Java представляют серьезную угрозу безопасности или являются лишь фальшивыми созданиями "гуру" от маркетинга, разыгрывающими карту страха, чтобы помочь третьим фирмам продать свое ПО безопасности.
В самом деле, такие компании, как DSN Technology, Internet Security Systems, Digitivity и Finjan Software, предлагают выйти из положения, прибегнув к ПО, которое, по их словам, защитит вашу сеть от посягательств. Но многие эксперты по безопасности и аналитики говорят, что угроза враждебных апплетов Java сильно преувеличена. "Возможность апплетов Java нанести вред сети меньше, чем многие думают, - говорит Рон Раппапорт, аналитик компании Zona Research. - Все же в отрасли существует мнение, что апплеты Java небезопасны".
Апплеты Java состоят из исполняемого кода, который можно загрузить в ваш компьютер из Internet. Подавляющее большинство программ разработано для полезных и благонамеренных целей. Однако, программисты с дурными наклонностями могут создать апплеты, разработанные для того, чтобы либо воспрепятствовать работе пользователей - к примеру, путем проигрывания ненужных звуковых файлов или разрушения программы просмотра - либо причинить серьезный ущерб, украв пароль или даже затерев жесткий диск.
В то время как степень ущерба вредоносных апплетов Java является проблематичной, беспокойство об их угрозе сетям вполне обосновано. Для многих третьих фирм такое восприятие представляет собой удобный случай. "Существует тенденция зарабатывать на страхе, - говорит Раппопорт. - Если есть вредоносный апплет Java, где-нибудь да найдется некая третья фирма, которая попытается обеспечить вам гарантию безвредности этого апплета для вашей сети". Аналитики и эксперты по безопасности говорят, что эти гарантии имеют чуть больше смысла, чем страхование от невероятного случая, так как модель безопасности ("песочница") Java, которая заключает апплеты в рамки программ просмотра, достаточно эффективно защищает сети. "Язык Java сам по себе имеет много встроенных средств безопасности", - говорит Энн Томас, старший консультант компании Patricia Seybold Group.
На практике многие программисты жалуются, что "песочницы" апплетов Java слишком ограничены, подводя компанию Sun Microsystems к расширению концепции "песочницы" в грядущей версии Java Development Kit 1.2. Это позволит апплетам Java с цифровой подписью покидать "песочницу" для выполнения ограниченных функций, что очень похоже на освобождение из тюрьмы для работы.
Компания Finjan выпустила на рынок несколько продуктов для обнаружения и отслеживания апплетов Java и ActiveX. Эта компания, которая утверждает, что ее ПО гарантирует защиту от промышленного шпионажа, подделки электронной почты и похищения вычислительных ресурсов, подверглась исключительной критике со стороны некоторых экспертов по безопасности и даже JavaSoft.
Одно из официальных лиц компании JavaSoft, просившее не упоминать его имени, обвинило компанию Finjan в использовании "тактики запугивания" для сбыта своего ПО.
Специалист по вопросам безопасности Марк Ладу был более резок в оценке ПО безопасности апплетов Java для настольных систем SurfinShield. Ладу опубликовал статью об этом продукте на Web-узле технологического института Джорджии, в которой серьезно критикует характеристики продукта по защите от вредоносных апплетов.
Другой специалист по безопасности, Брайан Бершад из университета Вашингтона, сказал, что "у Finjan меньше технологии, чем у некоторых их конкурентов, а я не думаю, что их конкуренты обладают значительной технологией".
Рон Мориц, технический директор компании Finjan, встал на защиту эффективности разработанной компанией технологии "инспекция содержания", которая проверяет апплеты на шлюзах и брандмауэрах.
Он также заметил, что промышленный консорциум, инициированный компанией Finjan под названием Java Security Alliance, нашел поддержку крупных производителей, таких как Cisco Systems, Check Point Software Technologies и Digital Equipment. Другой член союза, производитель брандмауэров Raptor Systems, поставляет свои продукты в связке с ПО Finjan.
Хотя руководители компании сказали, что технологи Raptor думали, что "подход Finjan законный", они дали понять, что конкуренция стала движущей силой для решения компании Raptor явно предложить потребителям средства обеспечения безопасности апплетов Java. "На рынке существует большой спрос на блокирование апплетов Java", - сказал Эл Макгир, вице-президент по маркетингу компании Raptor.
На просьбу сформулировать, в чем состоит действительная опасность сетям со стороны злонамеренных апплетов, Макгир заявил, что если заказчики считают апплеты Java серьезной угрозой, так же считает и компания Raptor.
Еще до этого Гэри Макгроу, эксперт по безопасности компании Reliable Software Technologies, бранил производителей ПО безопасности Java за паникерство и конкретно Finjan за "вопиющую маркетинговую компанию". Хоть Макгроу и хорошего мнения о модели "песочницы" Java и считает, что пока зловредные апплеты Java не получили широкого распространения, он полагает, что представляемая ими опасность реальна. "В исследовательских лабораториях вынашивается ряд серьезных нападений, - говорит он, ссылаясь на команду безопасного программирования в Internet Принстонского университета. - Но действительно вредные апплеты, атакующие апплеты, никогда не видели в диком состоянии, так как они создаются славными ребятами. Может быть, и не всегда."