Mga mananaliksik: Mga problema sa seguridad ng Java ay malamang na hindi malulutas sa lalong madaling panahon

Simula ng taon, ang mga hacker ay nagsasamantala ng mga kahinaan sa Java upang magsagawa ng isang hanay ng mga pag-atake laban sa mga kumpanya kabilang ang Microsoft, Apple, Facebook at Twitter, pati na rin ang mga gumagamit ng bahay. Ang Oracle ay gumawa ng isang pagsisikap upang mas mabilis na tumugon sa mga pagbabanta at upang palakasin ang Java software nito, ngunit sinasabi ng mga eksperto sa seguridad na ang mga pag-atake ay malamang na hindi malimitahan sa anumang oras.

Lamang sa linggong ito, sinabi ng mga mananaliksik sa seguridad ang mga hacker sa likod ng kamakailang walang nakitang MiniDuke Ginamit ng kampanyang cyberespionage ang mga pagsasamantalang batay sa Web para sa Java at Internet Explorer 8, kasama ang isang Adobe Reader exploit, upang ikompromiso ang kanilang mga target. Sa nakaraang buwan, ang MiniDuke malware ay may impeksyon sa 59 mga computer na kabilang sa mga organisasyon ng pamahalaan, mga instituto ng pananaliksik, mga think tank at mga pribadong kompanya mula sa 23 bansa.

Ang Java exploit na ginamit ng MiniDuke ay naka-target sa isang kahinaan na hindi na-patched ng Oracle sa panahon ng ang mga pag-atake, sinabi ni Kaspersky Lab sa isang blog post. Ang mga kahinaan na ginawang pampubliko o pinagsamantalahan bago ang isang patch ay inilabas ay kilala bilang mga zero-day na kahinaan, na ang ilan ay ginagamit sa mga pag-atake laban sa Java sa taong ito.

[Karagdagang pagbabasa: Paano tanggalin ang malware mula sa iyong Windows PC]

Noong Pebrero, ang mga software engineer mula sa Microsoft, Apple, Facebook at Twitter ay nagkaroon ng mga laptop sa trabaho na nahawaan ng malware pagkatapos ng pagbisita sa isang website ng komunidad para sa mga nag-develop ng iOS na pinutol na may Java zero-day exploit. Ang mga pag-crash ay ang resulta ng isang mas malaking "watering hole" attack na inilunsad mula sa maraming website na apektado din ng mga ahensya ng pamahalaan at mga kumpanya sa iba pang mga industriya, Ang Security Ledger ay iniulat.

Oracle ay tumugon sa mga pag-atake sa pamamagitan ng pag-isyu ng dalawang emergency update sa seguridad simula noong simula ng taon at pinabilis ang paglabas ng isang naka-iskedyul na patch. Itinaas din nito ang default na setting ng mga kontrol sa seguridad para sa mga Java applet sa mataas, na pumipigil sa mga application na Java na batay sa Web mula sa pagpapatupad sa loob ng mga browser nang walang kumpirmasyon ng user. ang pag-aampon rate para sa mga update at upang mapagbuti ang pamamahala ng mga kontrol ng seguridad ng Java sa mga corporate na kapaligiran. Higit sa lahat, sinasabi nila, dapat lubusang repasuhin ng Oracle ang Java code nito upang tukuyin at ayusin ang mga pangunahing isyu sa seguridad. Naniniwala sila na mas magiging ligtas ang Java ngayon kung nakinig ang Oracle sa mga babala ng industriya ng seguridad sa mga taon.

"Mahirap sabihin kung ano ang nangyayari sa loob ng Oracle sa nakalipas na mga taon, ngunit batay sa isang panlabas na impression na nararamdaman ko maaari silang umaksyon nang mas maaga, "sabi ni Carsten Eiram, punong opisyal ng pananaliksik sa pagkonsulta sa firm Risk Based Security, sa pamamagitan ng email. "Hindi ako sigurado na talagang kinuha ng Oracle ang mga hula ng Java na ang seryosong target na seryoso."

Hindi sigurado ang Oracle ang maaaring pumigil sa mga kamakailang pag-atake, sinabi niya, ngunit magiging mas mahusay na posisyon kung ito ay kumilos nang mas maaga upang masiguro ang code nito at magdagdag ng higit pang mga layer ng seguridad.

"Sa tingin ko ang kasalukuyang estado ng seguridad ng Java ay dahil sa ang katunayan na ang Sun hunhon Java masyadong malakas kapag sila pa rin ang pag-aari ito," sinabi Costin Raiu, direktor ng pandaigdigang pananaliksik at koponan ng pagtatasa sa Kaspersky Lab, sa pamamagitan ng email. "Pagkatapos bumili ng Oracle Java, marahil maliit na interes ang pumasok sa proyektong ito."

Nakuha ng Oracle ang Java noong binili nito ang Sun Microsystems noong 2010. Ang software ay na-install sa 1.1 bilyon na mga desktop computer sa buong mundo, ayon sa impormasyon sa Java.com. Ang malawakang pag-deploy at cross-platform na kalikasan ay ginagawa itong isang kaakit-akit na target para sa mga hacker. Ang mga mananaliksik sa Security Explorations, isang Polish firm na pananaliksik na kahinaan, ay natagpuan at nag-ulat ng 55 mga kahinaan sa Java runtimes pinananatili ng Oracle, IBM at Apple sa nakalipas na taon, 36 ng mga ito sa bersyon ng Oracle.

"Noong Abril 2012, iniulat namin ang 30 mga isyu sa seguridad sa Oracle na nakakaapekto sa Java SE 7," tagapagtatag ng Adam Gowdiak, Security Explorations, "sa pamamagitan ng email. "Ito ay sa parehong oras ang Troyano Flashback Mac OS ay natagpuan sa ligaw. Ang parehong ay dapat na nagtrabaho bilang isang wake up call para sa Oracle. "

Kaspersky Lab ay iniulat na sa anumang naibigay na oras noong nakaraang taon, isa sa tatlong mga gumagamit ay nagpapatakbo ng isang bersyon ng Java na maaaring masugatan sa isa sa limang pangunahing exploit na ginagamit ng mga hacker. Sa mga oras ng peak, higit sa 60 porsiyento ng mga gumagamit ay may naka-install na Java na mahina ang bersyon na naka-install.

Ang pagbibigay ng isang tahimik, awtomatikong pag-update ng mekanismo tulad na matatagpuan sa Chrome, Flash Player, Adobe Reader at iba pang software ay maaaring makatulong sa mga mamimili.

Simula sa Java 7 Update 10, na inilabas noong Disyembre, ang Oracle ay nagbigay ng mga bagong opsyon sa Java control panel na nagpapahintulot sa mga user na huwag paganahin ang Java plugin mula sa mga browser o pilitin ang Java humingi ng kumpirmasyon bago isagawa ang Java applets. Dahil ang Java 7 Update 11, ang default na setting para sa mekanismong ito ay naka-set sa mataas, na pinipigilan ang mga unsigned Java applets mula sa pagpapatakbo nang awtomatiko nang walang pagkumpirma ng gumagamit.

"Naniniwala ako na ang mga bagong tampok ng seguridad sa Java ipakita na lumilipat ang Oracle sa tamang direksyon, "sabi ni Wolfgang Kandek, CTO ng Qualys, na nagbebenta ng mga kahinaan sa pamamahala at mga produkto ng pagsunod sa patakaran. Ang pagsasagawa ng Java ng mas maraming configurable ay makakatulong sa mga tagapangasiwa ng IT na i-deploy ito sa isang paraan na nakakatugon sa mga kinakailangan ng kanilang mga organisasyon.

"Gusto kong malugod ang mga kakayahan sa pag-lista sa Java, ibig sabihin, na nagbabawal sa lahat ngunit mga aprubadong site upang gamitin ang mekanismo ng applet, "Sabi ni Kandek. "Kasabay nito, ang sentral na pamamahala ng mga kakayahan ng pagsasaayos ng Java, ibig sabihin, ay dapat na mapabuti sa pamamagitan ng Windows GPO [Group Policy]."

Naniniwala si Kandek na ang Oracle ay nakaharap ng isang mas malaking hamon sa hardening ng Java laban sa mga pag-atake kaysa sa iba pang mga software company kanilang sariling mga produkto. "Java ay isang kumpletong programming language at kailangang maisagawa ang buong gamut ng mga aksyon … kabilang ang mga antas ng operating system na mababa ang antas."

Iyon ay sinabi, Eiram at Gowdiak parehong sinabi Oracle pangangailangan upang mapabuti ang kalidad ng kanyang Java code

"Ang mga vendor ng software ay may responsibilidad na magbigay ng ligtas na code ng isang tiyak na kalidad, at ang mga vendor ng malawak na deploy na software tulad ng Flash Player o Java ay walang dahilan," Sinabi ni Eiram. "Naunawaan ito ng Adobe at gumawa ng malubhang at matagumpay na pagsisikap upang mapabuti ang kanilang code. Ginawa rin ng Microsoft ang maraming taon na ang nakakaraan. Panahon na para sa Oracle na sundin ang mga yapak na iyon. "

May mga palatandaan na ang mga developer ng Oracle ay walang kamalayan sa mga seguridad ng seguridad ng Java at ang mga pagsusuri sa seguridad ng code ay hindi tapos na sa lahat o hindi sapat na komprehensibo, sinabi ni Gowdiak. Marami sa mga isyu na natukoy ng Security Explorations ang lumalabag sa sariling mga gabay sa coding ng Oracle para sa Java, sinabi niya.

"Nakakita kami ng maraming mga sira na dapat na eliminated ng kumpanya sa panahon ng isang komprehensibong pagsusuri ng seguridad ng platform bago nito "Sinabi ni Gowdiak.

Dapat ipatupad ng Oracle ang isang matatag na Secure Development Lifecycle para sa Java upang alisin ang mga pangunahing kahinaan at dagdagan ang maturity ng code, sinabi ni Eiram. Ang isang SDL ay isang proseso ng pag-develop ng software na nagbibigay diin sa mga review ng seguridad ng code at secure na mga kasanayan sa pag-unlad upang mabawasan ang mga kahinaan.

Ang pinakamahusay na diskarte ay upang matiyak na ang mga developer ay wastong sinanay sa pamamagitan ng hawak na panloob na mga sesyon ng pagsasanay, tulad ng ginawa ng Microsoft, at upang repasuhin ang umiiral na code sa tulong ng mga panlabas na tagasuri, sinabi ni Eiram. "Oracle ay maaaring pati na rin kontrata ang ilan sa mga dalubhasang mananaliksik na naghahanap sa kanilang code pa rin."

Oracle ay sinabi ito ay mapabilis ang patching cycle para sa Java mula sa 4 na buwan hanggang 2 buwan at ipinangako upang makipag-usap ng mas mahusay tungkol sa mga isyu sa seguridad ng Java sa lahat ng madla, kabilang ang mga mamimili, mga propesyonal sa IT, ang mga mananaliksik sa seguridad at press. Ang mahabang agwat sa pagitan ng mga pag-update sa seguridad ng Java at kakulangan ng komunikasyon sa seguridad ng Oracle ay matagal nang pinagtaksilan.

"Ito ay magiging kagiliw-giliw na upang makita kung ang mga ito ay igalang ang kanilang pangako ng mas mahusay na pakikipag-usap sa publiko at pindutin. Sa nakaraan, sila ay may-sa aking opinyon - ay lubos na mapagmataas at tumangging magkomento sa iniulat na mga kahinaan, at maging ang kanilang bisa, "sabi ni Eiram.

Ang patakaran na hindi nagkomento sa mga isyu sa seguridad, na sinabi ng Oracle ay kinakailangan upang protektahan mga gumagamit, nagresulta sa mga gumagamit na hindi alam kung ang mga panlabas na iniulat na pagbabanta ay totoo o kung ano ang ginagawa ng Oracle tungkol sa mga ito, sinabi niya. "Ang diskarte sa seguridad at kakayahang tumugon ay nabibilang sa nakaraang milenyo."

Ang mga eksperto sa seguridad ay hindi umaasa sa Oracle na lutasin ang lahat ng mga problema sa malapit na hinaharap sa isang paraan na matutukoy ang mga sumasalakay.

"Hindi ko hinulaan Ang mga problema sa seguridad ng Java ay nagtatapos sa anumang oras, "sabi ni Eiram. "Kinuha ang parehong Microsoft at Adobe ng isang habang upang i-on ang bangka sa paligid, at ang kanilang mga produkto ay pa rin napapailalim sa zero-araw [Pagsasamantala] ngayon at pagkatapos. Ang Java ay may maraming mga nag-aalok ng mga attackers, kaya inaasahan ko ang mga ito upang panatilihin ang kanilang mga focus sa ito para sa ngayon. "

" Hindi ko inaasahan ang mga solusyon anumang oras sa lalong madaling panahon, "Kandek sinabi. "Ang mga tagapamahala ng IT ay dapat na mamuhunan sa kanilang oras sa pag-unawa kung saan kailangan nila ang Java sa desktop at kung saan maaari nilang paghigpitan ito."

Mga eksperto sa seguridad ay sumasang-ayon na ang Java ay dapat na paganahin kung saan hindi kinakailangan, kahit sa antas ng browser. Maraming mga gumagamit ay hindi kahit na alam na naka-install ang Java sa kanilang mga computer. Marahil na ang dahilan kung bakit pinili ng Google at Mozilla na paghigpitan ang Java plugin sa Chrome at Firefox, sinabi ni Raiu.

Ang Apple ay may blacklisted na mga mahina na bersyon ng Java plugin sa Mac OS X, at ang Windows ay mayroong setting ng pagpapatala na maaaring limitahan ang paggamit ng Java sa Internet Explorer sa mga pinagkakatiwalaang mga website.

Bagaman maraming mga gumagamit ng bahay ay hindi nangangailangan ng Java sa kanilang mga browser, ang mga tao sa ilang bahagi ng mundo ay maaaring. Sa Denmark, halimbawa, ang online banking at mga website ng gobyerno ay gumagamit ng isang log-in na mekanismo na tinatawag na NemID na nangangailangan ng Java support, sinabi ni Eiram. Ang mga katulad na kaso ay maaaring umiiral sa ibang mga bansa. Sa mga kasong iyon, ang paggamit ng tampok na click-to-play sa Chrome at Firefox, o ang mga mekanismo ng Zone sa IE, ay maaaring magamit upang pahintulutan ang load ng nilalaman ng Java mula sa mga partikular na website lamang. Ang isang mas teknikal na solusyon ay ang paggamit ng isang browser na may kapansanan sa Java para sa mga pangkalahatang gawain, at isang ibang browser na may Java na pinagana para sa mga pinagkakatiwalaang mga website na nangangailangan ng suporta sa Java.

Ang paghihigpit sa paggamit ng Java sa mga corporate na kapaligiran ay mas mahirap. Maraming mga kumpanya ang gumagamit ng panloob at panlabas na mga application na nakabatay sa Web na nangangailangan ng Java browser plugin na tumakbo. Ang mga tampok tulad ng click-to-play ay hindi angkop para sa mga kapaligiran ng korporasyon kung saan ang mga patakaran ay dapat na pinamamahalaang at pinapatupad.

"Ang pagsasagawa ng Java na mas maisasaayos ay makakatulong sa mga IT administrator na i-deploy ang Java sa tamang paraan para sa mga kinakailangan ng organisasyon," sabi ni Kandek. "Ang mas mataas na antas ng default na seguridad at ang madaling pagkakakabit mula sa browser ay isang magandang simula, ngunit naniniwala ako na kakailanganin naming mapabuti ang mga kakayahan ng mga browser ng white-list o ang mga plugin ng Java."

Para sa sandaling ito, ang Zone na mekanismo sa IE Nag-aalok ang pinakamalawak na kakayahan sa pamamahala para sa Java plugin sa mga corporate environment, sinabi ng Kandek.

Ang kamakailang alon ng mga pag-atake na nakabatay sa Java, kasama na ang nagresulta sa mga paglabag sa seguridad sa Microsoft, Facebook, Apple at Twitter, reputasyon, sinabi ni Eiram. Ngunit kung ang mga negosyante ay may kumpiyansa sa Java bilang ligtas at ligtas, "hindi pa nila sinasagot ang maraming babala na ibinigay ng mga mananaliksik para sa ilang sandali," sabi niya.

Hindi lamang ang reputasyon ng Java na maaaring nasira. Ito ay malamang na ang ilang mga kumpanya ay nagtatanong kung ang mahinang seguridad ng Java ay nakikita sa iba pang mga produkto ng Oracle, sinabi ni Gowdiak.

Eiram inaasahan na ang kamakailang pag-atake ay magsasanhi sa mga kumpanya upang muling suriin kung kailangan nila ang Java sa kanilang mga kapaligiran. lumilipat sa dalisay na mga application na batay sa HTML5 at lumilipat mula sa mga plugin tulad ng Flash, Silverlight at Java, "sabi ni Kandek. "Ang Java ay patuloy na lumalaki sa gilid ng server, kung saan ang mga mahusay na kakayahan sa pagproseso ay ganap na kinakailangan."