Tutkijat: Java-turvallisuusongelmia ei todennäköisesti ratkaista pian

Hakkereita on hyödyntänyt Java-haavoittuvuuksia suorittaa useita hyökkäyksiä yrityksiä, kuten Microsoftia, Applea, Facebookia ja Twitterä, sekä kotikäyttäjiä vastaan. Oracle on pyrkinyt reagoimaan nopeammin uhkiin ja vahvistamaan Java-ohjelmistoaan, mutta tietoturva-asiantuntijat sanovat, että hyökkäykset eivät todennäköisesti anna mitään aikaa pian.

Vain tällä viikolla tietoturva-asiantuntijat sanoivat hakkerit hiljattain paljastuneen MiniDuken takaa Cyberespionage-kampanja Käytti Web-pohjaisia ​​Java- ja Internet Explorer 8 -hyödyt sekä Adobe Reader -hyödyt ja kompromisseja niiden tavoitteisiin. Viime kuussa MiniDuken haittaohjelmat saivat 59 tietokoneen, jotka kuuluvat hallituksen organisaatioihin, tutkimuslaitoksiin, think tank -yrityksiin ja yksityisyrityksiin 23 maasta.

MiniDuken käyttämät Java-haasteet kohdistivat haavoittuvuuteen, jota Oracle ei ollut päivittänyt hyökkäykset, Kaspersky Lab sanoi blogikirjoituksessa.

[Lue lisää: Haittaohjelmien poistaminen Windows-tietokoneesta]

Helmikuussa Microsoftin, Applen, Facebookin ja Twitterin ohjelmistoinsinöörit joutuivat haittaohjelmiensa kanssa tarttumaan työpöytäkansioihinsa, kun he vierailivat iOS-kehittäjille, jotka oli korjattu Java-nollapäivän hyödyntämisellä. Rikkomukset johtivat suurempaan "kasteluun" -hyökkäykseen, joka käynnistyi useista verkkosivustoista, jotka koskivat myös muita toimialoja edustavia valtion virastoja ja yrityksiä.

Oracle on vastannut hyökkäyksiin antamalla kaksi turvaturvapäivitystä, koska vuoden alussa ja kiihdyttämällä suunniteltua korjaustiedostoa. Se on myös nostanut Java-sovelmien suojausasetusten oletusasetuksen korkealle, mikä estää web-pohjaisten Java-sovellusten suorittamisen selaimissa ilman käyttäjän vahvistusta.

Tietoturva-asiantuntijat sanovat, että tämä on hyvä alku. päivitysten käyttöönottoprosentti ja Java-tietoturvaohjausten hallinnan parantaminen yritysympäristöissä. Vielä tärkeämpää on, että Oraclen on syytä tarkistaa perusteellisesti Java-koodi tunnistaa ja korjata tärkeät tietoturvaongelmat. He uskovat, että Java olisi nykyistä turvallisempi, jos Oracle olisi kuunnellut tietoturva-alan varoituksia vuosien varrella.

"On vaikea sanoa, mitä Oracle on menossa sisäisesti viime vuosina, mutta perustuu ulkoiseen vaikutelmaan, he olisivat voineet reagoida ennemmin ", kertoo tietoturvayhtiö Risk Based Securityn pääekologi Carsten Eiram sähköpostilla. "En ole varma, että Oracle otti todella huomioon, että Java on seuraava tärkeä tavoite vakavasti."

Oracle olisi voinut estää viimeaikaiset hyökkäykset, hän sanoi, mutta se olisi paremmassa asemassa, jos se olisi toiminut ennemmin turvaamaan koodinsa ja lisäämään turvallisuuden tasoja.

"Luulen, että Java-tietoturvan nykytila ​​johtuu siitä, että Sun painosti Javaa erittäin voimakkaasti, kun se yhä omisti sen", sanoo globaalin tutkimuksen johtaja Costin Raiu ja analyysitiimi Kaspersky Labissa, sähköpostitse. "Kun Oracle osti Javaa, ehkä vähän kiinnostusta tähän projektiin."

Oracle osti Javaa, kun se osti Sun Microsystemsin vuonna 2010. Ohjelmisto on asennettu maailmanlaajuisesti 1.1 miljardiin pöytätietokoneeseen Java.comin tietojen mukaan. Sen laajalle levinnyt käyttöönotto ja monialaisuus luonne tekevät siitä houkuttelevan kohteen hakkereille. Tutkijat, jotka ovat Puolan haavoittuvuustutkimusyritys Security Explorations, ovat löytäneet ja ilmoittaneet 55 haavoittuvuutta Oraclen, IBM: n ja Applen viimeisen vuoden ylläpitämissä Java-ajoituksissa, joista 36 Oraclen versiosta.

"Huhtikuussa 2012 raportoimme 30 turvallisuuskysymystä Oracleille, joka vaikuttaa Java SE 7: een", Adam Gowdiak, Security Explorationsin perustaja, sanoi sähköpostilla. "Tämä oli noin samaan aikaan Flashback Mac OS troijalainen löytyi villi. Molempien olisi pitänyt toimia Oraclen herätyksenä. "

Kaspersky Lab on ilmoittanut, että viime vuonna jokainen kolmessa käyttäjässä käytti Java-versiota, joka oli alttiina yhdelle viidestä suuresta hakkereita. Ruuhka-aikoina yli 60 prosenttia käyttäjistä oli haavoittuvassa Java-versiossa asennettu.

Chrome, Flash Player, Adobe Reader ja muut ohjelmistot tarjoavat hiljaisen, automaattisen päivitysmekanismin tarjoamisen, mikä saattaa auttaa kuluttajia, Eiram sanoi.

Joulukuussa julkaistun Java 7 Update 10: n alkaessa Oracle on tarjonnut Java-ohjauspaneelissa uusia vaihtoehtoja, joiden avulla käyttäjät voivat poistaa Java-laajennuksen selaimilta tai pakottaa Javaa pyydä vahvistus ennen kuin Java-sovellukset toteutetaan. Koska Java 7 Update 11: n oletusasetus on asetettu korkealle, estää allekirjoittamattomien Java-applettien käyminen automaattisesti ilman käyttäjän vahvistusta.

"Uskon, että Java-tietoturvaominaisuudet osoittavat, että Oracle liikkuu oikeaan suuntaan ", sanoo Qualys CTO: n Wolfgang Kandek, joka myy haavoittuvuuden hallinta- ja toimintaperiaatteiden mukaisia ​​tuotteita. Jotta Java olisi entistä konfiguroitavampi, se auttaisi IT-järjestelmänvalvojia ottamaan sen käyttöön organisaationsa vaatimusten mukaisesti.

"Haluaisin suhtautua myönteisesti Java-valkotoimintoihin, toisin sanoen kieltämällä kaikki hyväksytyt sivustot käyttämästä appletimekanismia, "Kandek sanoi. "Samanaikaisesti Java-konfigurointikyvyn, eli Windowsin GPO: n [Group Policy], keskitetty hallinnointi olisi parannettava."

Kandek uskoo Oraclen olevan suurempi haaste Java: n kovettumisesta iskuilta kuin muut ohjelmistotalot tekivät omia tuotteita. "Java on täydellinen ohjelmointikieli, ja sen täytyy pystyä suorittamaan kaikki toimintojen kattavuus … mukaan lukien matalan tason käyttöjärjestelmätehtävät."

Se sanoi, että Eiram ja Gowdiak sanoivat, että Oracle tarvitsee parantamaan Java-koodinsa laatua

"Ohjelmistotoimittajilla on velvollisuus tarjota tietynlaista turvallista koodia, ja laajasti käytössä olevien ohjelmistojen, kuten Flash Playerin tai Java-ohjelmiston valmistajat, eivät yksinkertaisesti ole tekosyitä". Eiram sanoi. "Adobe ymmärsi tämän ja on tehnyt vakavan ja onnistuneen pyrkimyksen parantaa koodinsa. Microsoft teki samoja vuosia sitten. On aika, että Oracle seuraa näitä askelia. "

On viitteitä siitä, että Oraclen kehittäjät eivät tiedä Java-tietoturvahäiriöitä ja että koodin tietoturvakatselmuksia ei ole tehty lainkaan tai tarpeeksi kattavasti, Gowdiak sanoi. Monet Security Explorationsin tunnistamat ongelmat ovat ristiriidassa Oraclen omien suojattujen koodausohjeiden kanssa Javaa varten.

"Löysimme monia puutteita, jotka yrityksen olisi pitänyt eliminoida laajan tietoturvakatselmuksen aikana ennen sen release ", Gowdiak sanoi.

Oraclen tulisi toteuttaa Java-kehityksen vankka Secure Development Lifecycle, joka poistaa haavoittuvuudet ja lisää koodin kypsyyttä, Eiram sanoi. SDL on ohjelmistokehitysprosessi, joka korostaa koodin turvatarkastuksia ja turvallisia kehityskäytäntöjä haavoittuvuuksien vähentämiseksi.

Paras tapa on varmistaa, että kehittäjät ovat asianmukaisesti koulutettuja järjestämällä sisäisiä harjoittelujaksoja, kuten Microsoft teki, ja tarkastelemaan olemassa olevaa koodia ulkopuolisten tilintarkastajien avustamana, Eiram sanoi. "Oracle voi myös sopia eräistä osaavista tutkijoista, jotka katsovat koodiaan joka tapauksessa."

Oracle on sanonut, että se kiihdyttäisi Java-korjausjaksoa 4 kuukaudesta 2 kuukauteen ja lupasi viestiä paremmin Java-tietoturvaongelmista kaikki yleisöt, mukaan lukien kuluttajat, IT-ammattilaiset, lehdistö ja turvallisuusasiantuntijat. Pitkä aikaväli Java-tietoturvapäivitysten ja Oraclen tietoturvan puutteesta on pitkään arvosteltu.

"On mielenkiintoista nähdä, tulevatko he kunnioittamaan lupauksiaan kommunikoida paremmin yleisön ja lehdistön kanssa. Aiemmin he ovat - mielestäni - ikävästi ylimielisiä ja kieltäytyneet kommentoimasta ilmoitettuja haavoittuvuuksia ja jopa niiden pätevyyttä ", Eiram sanoi.

Politiikka, joka ei käsittele turvallisuuskysymyksiä, minkä Oraclen mukaan se oli tarpeen suojata käyttäjät eivät tienneet, ovatko ulkoisesti raportoineet uhat todellisia tai mitä Oraclen tekemä heistä, hän sanoi. "Tämä lähestymistapa turvallisuuteen ja reagointiin kuuluu edelliseen vuosituhannelle."

Turvallisuusasiantuntijat eivät odota, että Oracle ratkaisee kaikki ongelmat lähitulevaisuudessa tavalla, joka estää määrätyt hyökkääjät.

"En ole ennakko Javain turvallisuusongelmat päättyvät pian, "Eiram sanoi. "Sekä Microsoftin että Adoben kesti veneen kääntämiseen, ja niiden tuotteet ovat edelleen nollatolisten [hyödyntämisen] kohteena. Javailla on paljon tarjottavaa hyökkääjille, joten odotan, että ne pitävät keskittymistään jo nyt. "

" En odota ratkaisuja pian, "Kandek sanoi. "IT-järjestelmänvalvojien tulisi panostaa aikaa ymmärtämään, missä he tarvitsevat Javaa työpöydällä ja missä he voivat rajoittaa sitä."

Tietoturva-asiantuntijat ovat yhtä mieltä siitä, että Java on poistettava käytöstä, jos sitä ei tarvita, ainakin selaimen tasolla. Monet käyttäjät eivät edes tiedä, että heillä on Java asennettuna heidän tietokoneisiinsa. Se on luultavasti syy, miksi Google ja Mozilla ovat päättäneet rajoittaa Java-laajennuksen Chromessa ja Firefoxissa, Raiu sanoi.

Apple on myös merkinnyt mustan listan Java-laajennuksen haavoittuvista versioista Mac OS X: ssä ja Windowsilla on rekisteriasetus, joka voi rajoittaa Java-käyttöä Internet Explorer luotettaville verkkosivustoille.

Vaikka monet kotikäyttäjät eivät tarvitsisi Javaa selaimissaan, ihmiset voivat joissakin osissa maailmaa. Esimerkiksi Tanskassa verkkopankit ja julkiset verkkosivustot käyttävät sisäänkirjautumismekanismia nimeltä NemID, joka vaatii Java-tukea, Eiram sanoi. Samankaltaisia ​​tapauksia saattaa esiintyä muissa maissa.

Näissä tapauksissa Chromen ja Firefoxin klikkaamalla -toimintoa tai IE-vyöhykemekanismia voidaan käyttää Java-sisällön lataamiseen vain tietyiltä verkkosivustoilta. Vähiten tekninen ratkaisu olisi käyttää yhtä selaimella, jonka Java on poistettu käytöstä yleisiä tehtäviä varten, ja eri selaimella, jonka Java on käytössä luotettaville verkkosivustoille, jotka tarvitsevat Java-tukea.

Java-käytön rajoittaminen yritystoiminnassa on vaikeampaa. Monet yritykset käyttävät sisäisiä ja ulkoisia Web-pohjaisia ​​sovelluksia, jotka edellyttävät Java-selaimen laajennusta.

"Javain konfiguroitavuuden ansiosta IT-järjestelmänvalvojat voivat käyttää Javaa oikealla tavalla organisaation vaatimuksiin", Kandek sanoo. "Korkeammat suojaustasot ja helppokäyttöinen yhteyden katkaiseminen selaimesta ovat hyvä alku, mutta uskon, että meidän on parannettava selainten tai Java-laajennusten valkoisen listan ominaisuuksia."

Tällä hetkellä Zone-mekanismi IE: ssä tarjoaa Java-laajennuksen Java-pohjaisten hyökkäysten, kuten Microsoftin, Facebookin, Applein ja Twitterin, tietoturvaongelmia, jotka ovat voineet vahingoittaa Java-sovelluksia. maine, Eiram sanoi. Mutta jos yrityksillä oli luottamus Javaen turvallisuuteen, "he eivät ole kiinnittäneet huomiota tutkijoiden runsaisiin varoituksiin", hän sanoi.

Se ei ole vain Java-maine, joka olisi voinut olla vahingoittunut.

Eiram toivoo, että viimeaikaiset iskujen seurauksena yritykset arvioivat uudelleen, tarvitsevatko Javaa ympäristöstään.

"Yritykset yleisesti siirtyvät puhtaisiin HTML5-pohjaisiin sovelluksiin ja siirtyvät plugins, kuten Flash, Silverlight ja Java, "Kandek sanoi. "Java jatkaa kasvuaan palvelinpuolella, missä sen tehokas käsittelyominaisuus on ehdottoman välttämätöntä."