A kutatók: a Java biztonsági problémái hamarosan megoldódnak

Az év eleje óta a hackerek kihasználják a Java hogy végezzen egy sor olyan támadást a vállalatok ellen, köztük a Microsoft, az Apple, a Facebook és a Twitter, valamint az otthoni felhasználók számára. Az Oracle arra törekedett, hogy gyorsabban reagáljon a fenyegetésekre és megerősítse a Java-szoftvert, de a biztonsági szakértők szerint a támadások valószínűleg hamarosan nem hagyják el.

Ezen a héten a biztonsági kutatók szerint a hackerek a közelmúltban feltárt MiniDuke A cyberespionage kampány a Java és az Internet Explorer 8 webes alapú felhasználása, valamint az Adobe Reader kizsákmányolása, céljaik veszélyeztetése érdekében. A múlt hónapban a MiniDuke malware fertőzött 59 számítógépet 23 országból származó kormányzati szervezetek, kutatóintézetek, think tankok és magánvállalatok tulajdonában.

A MiniDuke által használt Java-kizsákmányolás olyan sérülékenységet céloz meg, amelyet az Oracle nem korrigált a támadások, a Kaspersky Lab azt mondta egy blogbejegyzést. A javítás előtt nyilvánosságra hozott vagy a javítás előtt felhasznált biztonsági rések nulladik napi sebezhetőségnek nevezhetők, amelyek közül többet használtak a Java elleni támadások idején.

[További olvasnivalók: Hogyan távolítsunk el rosszindulatú programokat Windows számítógépről]

Februárban a Microsoft, az Apple, a Facebook és a Twitter szoftverfejlesztő munkatársai fertőzöttek voltak a rosszindulatú programokkal, miután meglátogatták a Java-zérus napi kizsákmányolással ellátott iOS fejlesztők közösség weboldalát. A megsértés egy több, "többnyire", több telephelyről érkező "öntöző lyuk" támadás eredménye volt, amely más kormányzati szerveket és más iparvállalatokat is érintette.

Az Oracle a sürgősségi biztonsági frissítések kiadása óta reagált a támadásokra. az év kezdete és egy ütemezett javítás felszabadítása. A Java-kisalkalmazások biztonsági beállításainak alapértelmezett beállítását is magasra állította, így megakadályozva, hogy a webalapú Java alkalmazások a böngészőkön belül végrehajtják a felhasználók megerősítését.

A biztonsági szakértők szerint ez jó kezdet, de többet kell gondolnunk, hogy növeljük a frissítések elfogadási arányát és a vállalati környezetben a Java biztonsági vezérlők kezelésének javítását. Ennél is fontosabb, mondják, az Oracle-nek alaposan át kell tekintenie Java kódját az alapvető biztonsági problémák azonosítására és javítására. Azt hiszik, hogy a Java ma sokkal biztonságosabb lenne, ha az Oracle hallgatta volna a biztonsági ipar figyelmét az évek során.

"Nehéz megmondani, mi történik az Oracle-n belül az elmúlt években, de egy külső benyomás alapján hamarabb reagálhattak "- mondta Carsten Eiram, a Risk Based Security tanácsadó cég vezető kutatója e-mailen keresztül. "Nem biztos, hogy az Oracle valóban figyelembe vette, hogy a Java a következő fontos célpontja."

Nem valószínű, hogy az Oracle megakadályozhatta volna a közelmúltban elkövetett támadásokat, mondta, de jobb helyzetben lesz, ha hamarabb cselekszik hogy biztonságossá tegye a kódot, és további biztonsági rétegeket szúr be.

"Úgy gondolom, hogy a Java biztonságának jelenlegi állása abból fakad, hogy a Sun nagyon erősen tolta a Java-ot, amikor még mindig birtokolja azt" - mondta Costin Raiu, a globális kutatás igazgatója és elemző csoport a Kaspersky Lab-on e-mailben. "Miután az Oracle megvásárolta a Java-t, talán kevés érdeklődés mutatkozott ehhez a projekthez."

Az Oracle 2010-ben megvásárolta a Java-t, amikor megvásárolta a Sun Microsystems-et. A szoftver a Java.com-on szereplő információk szerint világszerte 1,1 milliárd asztali számítógépre van telepítve. Széleskörű telepítési és többplatformos jellege vonzó célpontot jelent a hackerek számára. A biztonsági kutatások kutatói, a lengyel sebezhetőségi kutatócég az elmúlt egy évben 55 sebezhetőséget talált az Oracle, az IBM és az Apple által fenntartott Java futtatásokban, ezek közül 36 az Oracle verziójában.

"2012 áprilisában 30 biztonsági problémát jelentettünk az Oracle-nek, amely a Java SE 7-et érinti" - mondta Adam Gowdiak, a Security Explorations alapítója. "Ez körülbelül ugyanabban az időben a Flashback Mac OS trójai találtak a vadonban. Mindkettőnek az Oracle felé való felszólításának kellett volna lennie. "

A Kaspersky Lab arról számolt be, hogy a múlt év bármelyik időszakában egy-három felhasználó egy Java-verziót futtatott, amely sérülékeny volt az egyik legfontosabb hackerek. A csúcsidőben a felhasználók 60% -ánál sebezhető Java verziót telepítettek.

A csendes, automatikus frissítési mechanizmus biztosítása a Chrome-ban, a Flash Player-ben, az Adobe Reader-ben és más szoftverekben hasznos lehet a fogyasztók számára. A vállalkozások valószínűleg letilthatják ezeket a funkciókat, mondta.

Az Oracle a december 7-én kiadott Java 7 Update 10-től kezdve új opciókat biztosított a Java vezérlőpulton, amelyek lehetővé teszik a felhasználók számára, hogy letiltják a Java plugint a böngészőkből vagy a Java-ot kérjen megerősítést a Java appletek végrehajtása előtt. A Java 7 Update 11 óta ez a mechanizmus alapértelmezett beállítása magasra van beállítva, így az aláírás nélküli Java-kisalkalmazások automatikusan megakadályozhatók a felhasználó megerősítése nélkül.

"Úgy vélem, a Java új biztonsági szolgáltatásai azt mutatják, hogy az Oracle a helyes irányba mozdul "- mondta Wolfgang Kandek, a Qualys CTO-ja, amely értékesíti a sebezhetőség kezelését és az irányelveknek való megfelelést. A Java még konfigurálhatóbbá tétele segítene az informatikai rendszergazdáknak a szervezetük követelményeinek megfelelő telepítéséhez.

"Üdvözölném a Java fehér-felsorolási lehetőségeit, azaz megtiltaná az összes engedélyezett webhelyet az applet-mechanizmus használatához, "Mondta Kandek. "Ugyanakkor a Java-konfigurációs képességek központi felügyeletét, azaz a Windows Csoportházirend-objektumon keresztül [Csoportházirend] javítani kell."

Kandek szerint az Oracle nagyobb kihívással néz szembe a Java támadásokkal szembeni megkeményedésével szemben, mint más szoftvergyártók. saját termékeiket. "A Java egy teljes programozási nyelv, és képesnek kell lennie arra, hogy teljes körű műveleteket hajtson végre … beleértve az alacsony szintű operációs rendszerek feladatait."

Azt mondta, Eiram és Gowdiak mindketten azt mondta, hogy az Oracle javítania kell a Java kód minőségét biztonsági szempontból, mert most viszonylag könnyű megtalálni a sebezhetőségeket.

"A szoftverszállítók felelőssége, hogy biztonságos minőségi kódot biztosítsanak, és a széles körben elterjedt szoftverek, például a Flash Player vagy a Java szoftverek forgalmazói egyszerűen nincsenek kifogásuk." - mondta Eiram. "Az Adobe felismerte ezt, és komoly és sikeres erőfeszítéseket tett a kód javítása érdekében. A Microsoft ugyanezt tette sok évvel ezelőtt. Itt az ideje, hogy az Oracle követhesse ezeket a lépéseket. "

Vannak arra utaló jelek, hogy az Oracle fejlesztői nem ismerik a Java biztonsági zavarokat, és hogy a kódbiztonsági felülvizsgálatok egyáltalán nem teljesek vagy elégtelenek, Gowdiak mondta. A Security Explorations által felismert problémák közül sok megsértette az Oracle saját biztonságos kódolási irányelveit a Java számára. "

" Sok hibát találtunk, amelyeket a vállalatnak a platform átfogó biztonsági felülvizsgálata alkalmával fel kellett volna szüntetnie release ", mondta Gowdiak.

Az Oracle-nek szilárd biztonsági fejlesztési életciklusot kell végrehajtania a Java számára, hogy kiszabadítsa az alapvető biztonsági réseket és növelje a kód érettségét, mondta Eiram. Az SDL olyan szoftverfejlesztési folyamat, amely kiemeli a kód biztonsági felülvizsgálatait és biztonságos fejlesztési gyakorlatokat a sebezhetőségek csökkentése érdekében.

A legjobb megközelítés annak biztosítása lenne, hogy a fejlesztők megfelelően képzettek legyenek a belső képzések szervezésével, ahogy a Microsoft is tette, és felülvizsgálja a meglévő kódot külső auditorok segítségével - mondta Eiram. "Az Oracle ugyanúgy szerződést köthet a képzett kutatókkal, akik egyébként a kódjukat nézik."

Az Oracle azt mondta, hogy 4 hónapról 2 hónapra felgyorsítja a Java javítási ciklusát, és megígérte, hogy jobban kommunikál a Java biztonsági kérdéseivel minden közönségnek, beleértve a fogyasztókat, az informatikai szakembereket, a sajtó- és a biztonsági kutatókat. A Java biztonsági frissítések és az Oracle biztonsági kommunikáció hiánya közötti hosszú intervallumokat régóta bírálják"Érdekes lesz megnézni, hogy betartják-e az ígéretüket arra, hogy jobban kommunikálnak a nyilvánossággal és a sajtóval. A múltban - véleményem szerint - meglehetősen arrogáns volt, és nem volt hajlandó észrevételt tenni a bejelentett sebezhetőségekért és még érvényességükért is "- mondta Eiram.

Az a politika, hogy nem foglalkozik a biztonsági kérdésekkel, ami az Oracle szerint szükséges volt hogy a felhasználók nem tudják, hogy a külsőleg bejelentett fenyegetések valósak voltak-e, vagy hogy az Oracle mit csinált velük kapcsolatban. "A biztonsági és reagáló megközelítés az elmúlt évezredben rejlik."

A biztonsági szakértők nem számítanak arra, hogy az Oracle a közeljövőben minden problémát megoldani oly módon, amely elriasztja a meghatározott támadókat.

"Nem számítom A Java biztonsági problémái hamarosan lejárnak - mondta Eiram. "Mind a Microsoft, mind az Adobe egy darabig tartott a hajó körül, és termékeik még mindig nulladik napig [kihasználják]. A Java-nak sokat kell nyújtania a támadóknak, ezért azt várják tőlük, hogy folyamatosan figyeljenek rá. "

" Hamarosan nem vártam megoldásokat "- mondta Kandek. "Az informatikai rendszergazdáknak időt kell fordítaniuk arra, hogy megértsék, hol kell az asztalon az Java és ahol korlátozhatják."

A biztonsági szakértők egyetértenek abban, hogy a Java-t le kell tiltani, ahol nincs szükség, legalábbis böngésző szinten. Sok felhasználó még azt sem tudja, hogy a Java telepítve van a számítógépükön. Valószínűleg ezért a Google és a Mozilla úgy döntött, hogy korlátozza a Java plugint a Chrome-ban és a Firefoxban, mondta Raiu.

Az Apple szintén felsorolta a Java plug-in sérülékeny verzióit Mac OS X rendszeren, és a Windows rendelkezik regisztrációs beállítással, Internet Explorer a megbízható webhelyekhez.

Bár sok otthoni felhasználónak nincs szüksége Java-ra a böngészőjükben, az emberek a világ egyes részeiben előfordulhatnak. Dániában például az online banki és kormányzati weboldalak olyan bejelentkezési mechanizmust használnak, amelyet NemID-nek hívnak, amelyhez Java támogatásra van szükség, mondta Eiram. Hasonló esetek létezhetnek más országokban is.

Ezekben az esetekben a Chrome-ban és a Firefoxban található click-to-play funkció vagy az IE zónák mechanizmusa segítségével a Java tartalom csak bizonyos webhelyekről tölthető be. Kevésbé technikai megoldás az lenne, ha egy böngészőt használnánk a Java-t használva általános feladatokkal, és egy másik Java-alapú Java-alapú Java-alapú Java-alapú böngészőt.

A Java használatának korlátozása a vállalati környezetekben nehezebb. Számos vállalat belső és külső webalapú alkalmazásokat használ, amelyekhez a Java böngésző plugin futtatása szükséges. A "click-to-play" funkciók nem alkalmasak olyan vállalati környezetekhez, ahol a házirendeket központilag kell kezelni és végrehajtani.

"A Java konfigurálhatóságának javítása az IT-rendszergazdák számára a Java követelményeinek megfelelő telepítését teszi lehetővé" - mondta Kandek. "A magasabb alapértelmezett biztonsági szintek és a könnyű kapcsolódás a böngészőből jó kiindulási pont, de úgy gondolom, javítani kell a böngészők vagy a Java-pluginek fehér-listázási képességeit."

Jelenleg a Zóna mechanizmusa az IE-ben A legfrissebb Java-alapú támadások - köztük a Microsoft, a Facebook, az Apple és a Twitter - megsértését okozó Java-támadások legutóbbi hulláma a Java alkalmazások leginkább skálázható menedzsment képességeit kínálja. hírnevét, mondta Eiram. De ha a vállalkozások biztonságban és biztonságban bíztak a Java-ban, "egy ideje nem vették figyelembe a kutatók bővebb figyelmeztetéseit."

Nem csak a Java hírneve sérült meg. Valószínűleg egyes vállalatok azt kérdezik, hogy a Java gyenge biztonsága más Oracle-termékekben is megjelenik-e. "

Eiram reméli, hogy a közelmúltban bekövetkező támadások miatt a vállalatok újraértékelik, hogy szükségük van-e a Java-ra a környezetükben. áttérnek a tiszta HTML5 alapú alkalmazásokra, és eltávolodnak a pluginektől, mint például a Flash, a Silverlight és a Java "- mondta Kandek. "A Java tovább fog növekedni a szerver oldalán, ahol feltétlenül szükséges a hatékony feldolgozási képesség."