Badacze: Problemy bezpieczeństwa Java najprawdopodobniej wkrótce nie zostaną rozwiązane

Od początku roku hakerzy wykorzystują luki w Javie przeprowadzić szereg ataków na firmy, w tym Microsoft, Apple, Facebook i Twitter, a także użytkowników domowych. Firma Oracle podjęła starania, aby szybciej reagować na zagrożenia i wzmacniać oprogramowanie Java, ale eksperci ds. Bezpieczeństwa twierdzą, że ataki raczej nie zwalniają w najbliższym czasie.

Tylko w tym tygodniu analitycy bezpieczeństwa powiedzieli, że hakerzy stoją za niedawno odkrytym MiniDuke kampania cyberprzestępców wykorzystała exploity oparte na Internecie dla Javy i Internet Explorera 8, wraz z exploitem Adobe Reader, by zagrozić ich celom. W ubiegłym miesiącu szkodliwe oprogramowanie MiniDuke zainfekowało 59 komputerów należących do organizacji rządowych, instytutów badawczych, ośrodków analitycznych i prywatnych firm z 23 krajów.

Wykorzystany przez MiniDuke exploit w Javie był ukierunkowany na lukę, która nie została załatana przez Oracle w czasie ataki, powiedział Kaspersky Lab w poście na blogu. Luki, które upubliczniono lub wykorzystano przed wydaniem łaty, znane są jako luki zero-day, z których kilka zostało wykorzystanych podczas ataków na Javę w tym roku.

[Czytaj dalej: Jak usunąć złośliwe oprogramowanie z komputera z Windows]

W lutym inżynierowie oprogramowania z Microsoftu, Apple, Facebooka i Twittera mieli zainfekowane szkodliwe oprogramowanie laptopami po odwiedzeniu strony społecznościowej dla programistów iOS, którzy byli uzbrojeni w exploity zero-day w języku Java. Naruszenie było wynikiem większego ataku "wodopoju", który został uruchomiony z wielu stron internetowych, które dotyczyło również agencji rządowych i firm z innych branż, podała The Security Ledger.

Oracle zareagowało na ataki, wydając dwie awaryjne aktualizacje bezpieczeństwa od czasu początek roku i przyspieszenie wydania zaplanowanej łaty. Podniosło również domyślne ustawienie zabezpieczeń dla apletów Java na wysoki poziom, uniemożliwiając uruchamianie internetowych aplikacji Java w przeglądarkach bez potwierdzenia użytkownika.

Eksperci ds. Bezpieczeństwa twierdzą, że to dobry początek, ale uważam, że należy zrobić więcej, aby zwiększyć wskaźnik wdrażania aktualizacji i poprawy zarządzania kontrolami bezpieczeństwa Java w środowiskach korporacyjnych. Co ważniejsze, mówią, że Oracle powinien dokładnie przejrzeć swój kod Java, aby zidentyfikować i naprawić podstawowe problemy z bezpieczeństwem. Uważają, że Java byłaby bezpieczniejsza dzisiaj, gdyby Oracle przez lata słuchała ostrzeżeń branży bezpieczeństwa.

"Trudno powiedzieć, co działo się wewnętrznie w Oracle przez ostatnie lata, ale w oparciu o zewnętrzne wrażenie, które czuję mogli zareagować wcześniej, "powiedział Carsten Eiram, dyrektor ds. badań w firmie doradczej Risk Based Security, za pośrednictwem poczty elektronicznej. "Nie jestem pewien, czy Oracle naprawdę poważnie potraktowało przepowiednie Javy jako kolejnego ważnego celu."

Jest mało prawdopodobne, że Oracle mógł zapobiec niedawnym atakom, powiedział, ale byłby w lepszym położeniu, gdyby działał wcześniej aby zabezpieczyć swój kod i dodać więcej warstw zabezpieczeń.

"Uważam, że obecny stan bezpieczeństwa Java wynika z faktu, że Sun bardzo mocno naciskał na Javę, kiedy wciąż ją posiadał," powiedział Costin Raiu, dyrektor globalnych badań. i zespół analityczny w Kaspersky Lab, za pośrednictwem poczty elektronicznej. "Po tym, jak Oracle zakupiło Javę, prawdopodobnie nie zainteresowało się tym projektem."

Oracle nabył Javę, gdy kupił Sun Microsystems w 2010 roku. Oprogramowanie jest zainstalowane na 1,1 miliarda komputerów stacjonarnych na całym świecie, zgodnie z informacjami na stronie Java.com. Jego powszechne wdrażanie i wieloplatformowość sprawia, że ​​jest on atrakcyjnym celem dla hakerów. Naukowcy z Security Explorations, polskiej firmy badającej luki w zabezpieczeniach, znaleźli i zgłosili 55 luk w środowisku wykonawczym Java utrzymywanym przez Oracle, IBM i Apple w ciągu ostatniego roku, 36 z nich w wersji Oracle.

"W kwietniu 2012 r. Zgłosiliśmy 30 problemów bezpieczeństwa firmie Oracle mających wpływ na Java SE 7," Adam Gowdiak, założyciel Security Explorations ", przesłany pocztą elektroniczną. "Było to mniej więcej w tym samym czasie, kiedy trojan Flashback Mac OS został znaleziony na wolności. Oba powinny działać jako pobudka dla Oracle. "

Firma Kaspersky Lab poinformowała, że ​​w zeszłym roku jeden na trzech użytkowników korzystał z wersji Java, która była podatna na jeden z pięciu głównych exploitów używanych przez Oracle. hakerzy. W szczytowych czasach ponad 60 procent użytkowników miało zainstalowaną wrażliwą wersję Java.

Zapewnienie cichego, automatycznego mechanizmu aktualizacji takiego jak w Chrome, Flash Player, Adobe Reader i inne oprogramowanie może być pomocne dla konsumentów, powiedział Eiram. Jednak, jak powiedział, firmy prawdopodobnie wyłączą takie funkcje.

Począwszy od wydania Java 7 Update 10, wydanego w grudniu, firma Oracle udostępniła nowe opcje w panelu sterowania Java, które pozwalają użytkownikom wyłączyć wtyczkę Java z przeglądarek lub wymusić na Javie zapytaj o potwierdzenie przed uruchomieniem apletów Java. Od aktualizacji 7 Java 11 domyślne ustawienie tego mechanizmu zostało ustawione na wysokie, uniemożliwiając automatyczne uruchamianie niepodpisanych apletów Java bez potwierdzenia użytkownika.

"Wierzę, że nowe funkcje bezpieczeństwa w Javie pokaż, że Oracle zmierza we właściwym kierunku "- powiedział Wolfgang Kandek, dyrektor techniczny Qualys, który sprzedaje produkty do zarządzania lukami w zabezpieczeniach i zgodności z zasadami. Uczynienie Javy jeszcze bardziej konfigurowalną ułatwiłoby administratorom IT wdrożenie ich w sposób odpowiadający wymaganiom ich organizacji.

"Chciałbym skorzystać z możliwości białych list w Javie, tj. Zabraniać wszystkim, oprócz zatwierdzonych stron, używania mechanizmu apletów, "Kandek powiedział. "Jednocześnie należy usprawnić centralne zarządzanie możliwościami konfiguracyjnymi Java, np. Za pośrednictwem GPO systemu Windows [zasady grupy]."

Kandek wierzy, że Oracle staje przed większym wyzwaniem w zakresie wzmacniania Java przeciwko atakom niż inne firmy produkujące oprogramowanie własne produkty. "Java jest kompletnym językiem programowania i musi być w stanie wykonać pełną gamę działań … w tym niskopoziomowych zadań systemu operacyjnego."

Powiedział, że Eiram i Gowdiak powiedzieli, że Oracle musi poprawić jakość swojego kodu Java z perspektywy bezpieczeństwa, ponieważ w tej chwili stosunkowo łatwo jest znaleźć luki.

"Dostawcy oprogramowania mają obowiązek dostarczania bezpiecznego kodu o określonej jakości, a dostawcy szeroko stosowanego oprogramowania, takiego jak Flash Player lub Java, nie mają po prostu żadnej wymówki," Powiedział Eiram. "Adobe zdało sobie z tego sprawę i podjęło poważny i udany wysiłek ulepszenia ich kodu. Microsoft zrobił to samo wiele lat temu. Nadszedł czas, aby Oracle podążyło w tym śladem. "

Istnieją przesłanki, że twórcy oprogramowania Oracle nie są świadomi pułapek bezpieczeństwa w Javie, a opinie o zabezpieczeniach kodu nie są wykonywane wcale lub nie są wystarczająco kompleksowe, powiedział Gowdiak. Wiele problemów zidentyfikowanych przez Security Explorations narusza własne wytyczne bezpiecznego kodowania Oracle dla Javy

"Znaleźliśmy wiele wad, które powinny zostać wyeliminowane przez firmę w czasie kompleksowego przeglądu bezpieczeństwa platformy przed jej wprowadzeniem. - powiedział Gowdiak.

Oracle powinno wdrożyć solidny program Secure Development Lifecycle for Java, aby wyeliminować podstawowe luki i zwiększyć dojrzałość kodu, powiedział Eiram. SDL to proces tworzenia oprogramowania, który kładzie nacisk na weryfikację bezpieczeństwa kodu i bezpieczne praktyki programistyczne w celu zmniejszenia liczby luk.

Najlepszym rozwiązaniem byłoby zapewnienie odpowiedniego przeszkolenia programistów poprzez wewnętrzne sesje szkoleniowe, tak jak to zrobił Microsoft, oraz przeglądanie istniejącego kodu z pomocą zewnętrznych audytorów, powiedział Eiram. "Oracle może równie dobrze zlecić część wykwalifikowanych badaczy, którzy i tak patrzą na swój kod."

Oracle powiedziało, że przyspieszy to proces łatania dla Javy z 4 miesięcy do 2 miesięcy i obiecuje lepiej informować o problemach bezpieczeństwa Java z wszyscy odbiorcy, w tym konsumenci, informatycy, badacze prasy i bezpieczeństwa. Długie okresy między aktualizacjami zabezpieczeń Java i brakiem komunikacji Oracle w zakresie bezpieczeństwa były od dawna krytykowane.

"Ciekawe, czy dotrzymają obietnicy lepszego komunikowania się z opinią publiczną i prasy. W przeszłości mieli - moim zdaniem - całkowicie aroganccy i odmawiali komentowania zgłoszonych słabości, a nawet ich ważności "- powiedział Eiram.

Polityka nie komentowania kwestii bezpieczeństwa, o której była mowa Oracle była konieczna do ochrony użytkowników, spowodował, że użytkownicy nie wiedzieli, czy zewnętrznie zgłoszone zagrożenia są prawdziwe, ani co Oracle robi na ich temat, powiedział. "Takie podejście do bezpieczeństwa i szybkiego reagowania ma miejsce w poprzednim tysiącleciu."

Eksperci od zabezpieczeń nie oczekują, że Oracle rozwiąże wszystkie problemy w najbliższej przyszłości w sposób, który powstrzyma zdeterminowanych napastników.

"Nie przewiduję Problemy bezpieczeństwa Java kończą się w najbliższym czasie "- powiedział Eiram. "Zajęło zarówno Microsoft, jak i Adobe chwilę, aby odwrócić łódź, a ich produkty są wciąż przedmiotem zero-day [exploits] od czasu do czasu. Java ma wiele do zaoferowania osobom atakującym, więc spodziewam się, że będą na razie skupiać się na tym. "

" Nie spodziewałbym się, że w najbliższym czasie się okażą, "powiedział Kandek. "Administratorzy IT powinni poświęcić swój czas na zrozumienie, gdzie potrzebna jest Java na komputerze i gdzie mogą ją ograniczyć."

Eksperci ds. Bezpieczeństwa zgadzają się, że Java powinna być wyłączona tam, gdzie nie jest potrzebna, przynajmniej na poziomie przeglądarki. Wielu użytkowników nie wie nawet, że na swoich komputerach zainstalowana jest Java. Pewnie dlatego Google i Mozilla zdecydowały się ograniczyć wtyczkę Java w Chrome i Firefox, powiedział Raiu.

Apple ma również na czarnej liście podatne wersje wtyczki Java na Mac OS X, a Windows ma ustawienie rejestru, które może ograniczyć użycie Java w Internet Explorer do zaufanych witryn.

Podczas gdy wielu użytkowników domowych nie potrzebuje Java w swoich przeglądarkach, ludzie w niektórych częściach świata mogą. Na przykład w Danii serwisy bankowości internetowej i rządowe korzystają z mechanizmu logowania o nazwie NemID, który wymaga obsługi Java - powiedział Eiram. Podobne przypadki mogą występować w innych krajach.

W takich przypadkach za pomocą funkcji "kliknij, aby odtworzyć" w Chrome i Firefox lub mechanizmu stref w IE można użyć do załadowania zawartości Java z tylko niektórych witryn. Mniej technicznym rozwiązaniem byłoby użycie jednej przeglądarki z wyłączoną obsługą Java dla ogólnych zadań i innej przeglądarki z włączoną obsługą Javy dla zaufanych witryn wymagających wsparcia w języku Java.

Ograniczenie korzystania z Javy w środowiskach korporacyjnych jest trudniejsze. Wiele firm korzysta z wewnętrznych i zewnętrznych aplikacji internetowych, które wymagają wtyczki przeglądarki Java do działania. Funkcje takie jak "kliknij, aby odtworzyć" nie są odpowiednie dla środowisk korporacyjnych, w których zasady muszą być centralnie zarządzane i egzekwowane.

"Zwiększenie możliwości konfigurowania Javy pomoże administratorom IT wdrożyć Javę w odpowiedni sposób, zgodnie z wymaganiami organizacji", powiedział Kandek. "Wyższe domyślne poziomy bezpieczeństwa i łatwe odłączanie od przeglądarki to dobry początek, ale uważam, że będziemy musieli ulepszyć funkcje białych list w przeglądarkach lub wtyczkach Java."

Na razie mechanizm strefowy w IE oferuje najbardziej skalowalne możliwości zarządzania wtyczką Java w środowiskach korporacyjnych, powiedział Kandek.

Niedawna fala ataków opartych na Javie, w tym ta, która spowodowała naruszenia bezpieczeństwa w Microsoft, Facebook, Apple i na Twitterze, mogła uszkodzić Javę reputacja, powiedział Eiram. Ale jeśli firmy będą miały pewność, że Java jest bezpieczna, "nie zwracają uwagi na obfite ostrzeżenia dostarczane przez naukowców przez pewien czas", powiedział.

Nie tylko reputacja Javy mogła zostać uszkodzona. Prawdopodobnie niektóre firmy pytają, czy słabe zabezpieczenia Javy są odzwierciedlone w innych produktach Oracle, powiedział Gowdiak.

Eiram ma nadzieję, że niedawne ataki spowodują, że firmy ponownie ocenią, czy potrzebują środowiska Java w swoich środowiskach.

"Przedsiębiorstwa w ogóle migrują do czystych aplikacji opartych na HTML5 i odchodzą od wtyczek takich jak Flash, Silverlight i Java "- powiedział Kandek. "Java będzie nadal rosnąć po stronie serwera, gdzie jego potężne możliwości przetwarzania są absolutnie potrzebne."