Istraživači: Java sigurnosni problemi vjerojatno neće biti riješeni uskoro

Od početka godine hakeri su iskorištavali ranjivosti u Java provesti niz napada na tvrtke, uključujući Microsoft, Apple, Facebook i Twitter, kao i kućne korisnike. Oracle se nastojao brže reagirati na prijetnje i ojačati svoj Java softver, no stručnjaci za sigurnost kažu kako se napadi vjerojatno neće uskoro prepustiti.

Samo ovog tjedna, istraživači sigurnosti rekli su hakeri iza nedavno otkrivenog MiniDukea cyberespionage kampanja koristi web-based exploit za Java i Internet Explorer 8, zajedno s Adobe Reader iskorištavaju, kako bi ugrozili svoje ciljeve. Prošli mjesec, zlonamjerni program MiniDuke zaražio je 59 računala koja pripadaju vladinim organizacijama, istraživačkim institutima, think tankovima i privatnim tvrtkama iz 23 zemlje.

Java iskorištavanje koje je koristio MiniDuke usmjerio je na ranjivost koju Oracle nije zakrpao u vrijeme napadi, rekao je Kaspersky Lab na blogu. Ranjivosti koje su javne ili iskorištene prije objavljivanja patch-a poznate su kao nultoj ranjivosti, od kojih su neke korištene u napadima na Java ove godine.

[Daljnje čitanje: Kako ukloniti zlonamjerni softver s vašeg Windows računala]

U veljači su softverski inženjeri iz tvrtke Microsoft, Apple, Facebook i Twitter imali radno prijenosno računalo zaraženo zlonamjernim softverom nakon što su posjetili web stranicu zajednice za razvojne programere iOS-a koji su bili opremljeni Java nultoškim eksploatacijama. Očekivanja su bila posljedica većeg napada na "zalijevanje" pokrenutog s više web stranica koje su također utjecale na vladine agencije i tvrtke u drugim industrijama, izvijestio je The Security Ledger.

Oracle je reagirao na napade izdavanjem dva sigurnosna sigurnosna ažuriranja od početkom godine i ubrzavanjem puštanja zakazane zakrpe. Također je podigao zadanu postavku sigurnosnih kontrola za Java applete na visoke, sprječavajući Java aplikacije na webu da se izvršavaju unutar preglednika bez potvrde korisnika.

Stručnjaci za sigurnost kažu da je ovo dobar početak, ali mislim da bi trebalo više učiniti kako bi se povećala stopu prihvaćanja ažuriranja i poboljšanje upravljanja sigurnosnim kontrolama Java u korporativnim okruženjima. Što je još važnije, kažu, Oracle bi trebao temeljito pregledati svoj Java kod za prepoznavanje i rješavanje osnovnih sigurnosnih problema. Oni vjeruju da će Java biti sigurnija ako Oracle posluša upozorenja sigurnosne industrije tijekom godina. "Teško je reći što se proteklih godina događalo interno u Oracleu, ali na temelju vanjskog osjećaja koju osjećam mogli su ranije reagirati ", rekao je Carsten Eiram, glavni istraživač u tvrtki za konzultantsku tvrtku Risk Based Security, putem e-pošte. "Nisam siguran da je Oracle doista predvidio da je Java sljedeća glavna meta ozbiljno."

Nije vjerojatno da je Oracle mogao spriječiti nedavne napade, rekao je, ali bi bilo bolje ako bi to bilo prije kako bi osigurao svoj kôd i dodao više slojeva sigurnosti. "Mislim da je trenutno stanje Java sigurnosti zbog činjenice da je Sun gurnuo Javu vrlo snažno kada su i dalje u vlasništvu", rekao je Costin Raiu, direktor globalnog istraživanja i analitički tim u Kaspersky Lab, putem e-pošte. Oracle je kupio Java kada je kupio Sun Microsystems 2010. godine. Softver se instalira na 1,1 milijardu stolnih računala diljem svijeta, prema informacijama na Java.com. Njegova široko rasprostranjena implementacija i cross-platforma priroda čine ga privlačnim ciljem hakera. Istraživači istraživačke tvrtke Security Explorations, poljski istraživačkoj tvrtki ranjivosti, pronašli su i prijavili 55 ranjivosti u Java runtimes koje održavaju Oracle, IBM i Apple tijekom protekle godine, od kojih je 36 u verziji Oracle.

"U travnju 2012. prijavili smo 30 sigurnosnih problema Oracleu koji utječu na Java SE 7", rekao je Adam Gowdiak, osnivač sigurnosnih istraživanja, putem e-pošte. "Ovo je bilo u isto vrijeme kada je Flashback Mac OS trojan pronađen u divljini. Obojica su trebali raditi kao poziv za Oracle ".

Kaspersky Lab je izvijestio da je u bilo kojem trenutku prošle godine jedan od tri korisnika pokrenuo verziju Java koja je bila podložna jednoj od pet glavnih pothvata koje je koristio hakeri. U vrhunskim vremenima, više od 60 posto korisnika imalo je instaliranu ranjivu Java verziju.

Pružanje tihog, automatskog mehanizma ažuriranja poput onog pronađenog u Chromeu, Flash Playeru, Adobe Readeru i drugim softverima može biti korisno potrošačima, rekao je Eiram. Međutim, tvrtke će vjerojatno onemogućiti takve značajke, kazao je.

Počevši od Java 7 Update 10, objavljenog u prosincu, Oracle je ponudio nove mogućnosti na Java upravljačkoj ploči koja korisnicima omogućuju onemogućivanje Java pribora iz preglednika ili prisiljavanje Java na zatražite potvrdu prije izvršavanja Java appleta. Od Java 7 Update 11, zadana postavka za ovaj mehanizam postavljena je na visoku, sprječavajući automatsko pokretanje nepotpisanih Java appleta bez potvrde korisnika.

"Vjerujem da nove sigurnosne značajke u Java pokazuju da se Oracle kreće u pravom smjeru ", izjavio je Wolfgang Kandek, CTO Qualys, koji prodaje sustave ranjivosti i politike usklađenosti s politikama. Upotreba Jave još konfigurabilnija pomoći će IT administratorima da ga implementiraju na način koji udovoljava zahtjevima njihovih organizacija.

"Pozdravljam mogućnosti Java-ispisivanja u Java-u, tj. Zabranjuju svim posredovanim web-mjestima da koriste mehanizam apleta, "Rekao je Kandek. "Istodobno, centralno upravljanje Java konfiguracijskim mogućnostima, tj. Putem Windows GPO-a [Group Policy] trebao bi biti poboljšan."

Kandek vjeruje kako se Oracle suočava s velikim izazovom u očvršćivanju Java protiv napada od drugih softverskih tvrtki koje su radile s vlastitim proizvodima. "Java je kompletan programski jezik i mora biti u mogućnosti provesti cijeli niz akcija … uključujući i niske razine operativnih sustava zadataka."

To je rekao, Eiram i Gowdiak oboje su rekli Oracle treba poboljšati kvalitetu Java koda od sigurnosne perspektive, jer je sada relativno lako pronaći ranjivosti.

"Dobavljači softvera imaju odgovornost za pružanje sigurnog koda određene kvalitete, a dobavljači široko raspoređenih programa poput Flash Playera ili Java jednostavno nemaju izgovor". Rekao je Eiram. "Adobe je to shvatio i napravio ozbiljan i uspješan napor kako bi unaprijedio svoj kod. Microsoft je učinio isto prije mnogo godina. Vrijeme je da Oracle slijedi u tim koracima. "

Postoje naznake da Oracleovi programeri nisu svjesni Javaovih zamki sigurnosti i da sigurnosni pregledni kodovi nisu uopće učinjeni ili nisu dovoljno opsežni, kazao je Gowdiak. Mnogi od problema identificiranih sigurnosnim istraživanjima krši Oracleove vlastite kodirane smjernice za Java, rekao je.

"Pronašli smo mnoge nedostatke koje je tvrtka trebala eliminirati u vrijeme sveobuhvatne sigurnosne procjene platforme prije njegova "Oracle bi trebao implementirati solidan životni ciklus za siguran razvoj za Java kako bi uklonili osnovne ranjivosti i povećali zrelost koda, rekao je Eiram. SDL je proces razvoja softvera koji naglašava preglede sigurnosnih kodova i sigurne razvojne prakse za smanjenje ranjivosti.

Najbolji pristup bio bi osigurati da se programeri pravilno obučavaju održavanjem internih treninga, kao što je to učinio Microsoft, te pregledavši postojeći kod uz pomoć vanjskih revizora, rekao je Eiram. "Oracle bi također mogao ugovoriti neke od kvalificiranih istraživača koji svejedno gledaju na svoj kod." Oracle je rekao kako će ubrzati ciklus zakrčavanja za Java od 4 mjeseca do 2 mjeseca i obećao će bolje komunicirati oko Java sigurnosnih problema s sve publika, uključujući potrošače, IT profesionalce, novinare i istraživače sigurnosti. Dugi intervali između Java sigurnosnih ažuriranja i Oracleova nedostatka komunikacije o sigurnosti dugo su kritizirani"Bit će zanimljivo vidjeti hoće li poštovati svoja obećanja o boljem komuniciranju s javnošću i medijima. U prošlosti su, po mom mišljenju, bili pravi arogantni i odbili komentirati prijavljene ranjivosti, pa čak i njihovu valjanost ", rekao je Eiram." Politika ne komentirajući sigurnosne probleme, koje je Oracle rekao bio je neophodan za zaštitu korisnici, rezultirali su korisnicima koji ne znaju jesu li izvana prijavljene prijetnje prave ili što Oracle radi o njima, rekao je. "Ovaj pristup sigurnosti i odgovornosti pripada u prethodnom tisućljeću."

Sigurnosni stručnjaci ne očekuju da Oracle riješi sve probleme u bliskoj budućnosti na način koji će spriječiti određene napadače.

"Ne predviđam Java sigurnosni problemi koji se u skorije vrijeme završavaju ", rekao je Eiram. "Microsoft i Adobe trebali su neko vrijeme zaokrenuti brod, a njihovi proizvodi i danas podliježu nulti dan [eksploatiraju]. Java ima mnogo za ponuditi napadačima, pa očekujem da se sada usredotočite na to. "

" Ne bih očekivao rješenja u najkraćem roku ", rekao je Kandek. "IT administratori bi trebali uložiti svoje vrijeme u razumijevanju gdje im je potreban Java na radnoj površini i gdje ih mogu ograničiti."

Sigurnosni stručnjaci slažu se da Java treba biti onemogućen tamo gdje to nije potrebno, barem na razini preglednika. Mnogi korisnici čak ni ne znaju da imaju Java instaliran na svojim računalima. To je vjerojatno razlog zbog kojeg su Google i Mozilla ograničili Java plugin u Chrome i Firefox, rekao je Raiu.

Apple je također uvrstio ranjive verzije Java dodataka na Mac OS X i Windows ima postavku registra koja može ograničiti korištenje Java Internet Explorer na pouzdane web stranice.

Iako mnogi kućanski korisnici ne trebaju Java u svojim preglednicima, ljudi u nekim dijelovima svijeta mogu. U Danskoj, na primjer, mrežne bankovne i vladine web stranice koriste mehanizam prijave, nazvan NemID, koji zahtijeva Java podršku, rekao je Eiram. Slični slučajevi mogu postojati u drugim zemljama.

U tim slučajevima, upotreba značajke klika za reprodukciju u Chromeu i Firefoxu ili mehanizma Zonskih područja u IE-u mogla bi se dopustiti da se Java sadržaj učita iz samo određenih web mjesta. Manje tehničko rješenje bilo bi korištenje jednog preglednika s Java onemogućenim za opće zadatke, a drugi preglednik s Java omogućen za pouzdane web stranice kojima je potrebna Java podrška.

Ograničavanje upotrebe Java u korporacijskim okruženjima je teže. Mnoge tvrtke koriste interne i eksterne web-aplikacije koje zahtijevaju pokretanje Java preglednika. Značajke kao što su "klikni za reprodukciju" nisu prikladne za korporacijska okruženja gdje se pravila moraju centralno upravljati i provoditi.

"Poboljšanje Java-a pomoći će IT administratorima da implementiraju Javu na pravi način prema zahtjevima organizacije", rekao je Kandek. "Veće zadane sigurnosne razine i lako odspajanje s preglednika dobar su početak, ali vjerujem da ćemo morati poboljšati sposobnosti preglednika ili Java dodataka za popisivanje u bijeloj boji."

Za trenutačno, mehanizam Zone u IE nudi najsklonljivije mogućnosti upravljanja za Java plugin u korporacijskim okruženjima, rekao je Kandek.

Nedavni val Java napada, uključujući onu koja je rezultirala sigurnosnim kršenjima na Microsoft, Facebook, Apple i Twitter, možda je oštetila Java ugled, rekao je Eiram. No, ako su tvrtke imale povjerenje u Java kao sigurne, "neko vrijeme nisu podsjećale na velika upozorenja istraživača", rekao je.

To nije moglo biti samo ogledalo u Javaovoj reputaciji.

Eiram se nada kako će nedavni napadi uzrokovati da tvrtke ponovno procijenju jesu li im potrebne Java u njihovim okruženjima.

"Tvrtke općenito migriraju na čiste aplikacije temeljene na HTML5 i udaljuju se od dodataka kao što su Flash, Silverlight i Java ", rekao je Kandek. "Java će nastaviti rasti na strani poslužitelja, gdje su njegove snažne sposobnosti obrade apsolutno potrebne."