Ερευνητές: Τα προβλήματα ασφάλειας της Java είναι απίθανο να επιλυθούν σύντομα

Από την αρχή του έτους, οι χάκερ εκμεταλλεύονται τα τρωτά σημεία της Java να πραγματοποιήσει σειρά επιθέσεων εναντίον εταιρειών όπως η Microsoft, η Apple, το Facebook και το Twitter, καθώς και οι οικιακοί χρήστες. Η Oracle προσπάθησε να ανταποκριθεί ταχύτερα στις απειλές και να ενισχύσει το λογισμικό της Java, αλλά οι ειδικοί της ασφάλειας λένε ότι οι επιθέσεις είναι απίθανο να εγκαταλειφθούν σύντομα.

Μόλις αυτή την εβδομάδα, οι ερευνητές ασφαλείας δήλωσαν ότι οι χάκερ πίσω από το πρόσφατα αποκαλυφθέν MiniDuke cyberespionage χρησιμοποίησε Web-based εκμεταλλεύσεις για Java και Internet Explorer 8, μαζί με την εκμετάλλευση του Adobe Reader, για να θέσουν σε κίνδυνο τους στόχους τους. Τον περασμένο μήνα, το κακόβουλο λογισμικό MiniDuke μολύνει 59 υπολογιστές που ανήκουν σε κυβερνητικούς οργανισμούς, ερευνητικά ιδρύματα, ομάδες προβληματισμού και ιδιωτικές εταιρείες από 23 χώρες.

Η εκμετάλλευση Java που χρησιμοποιούσε η MiniDuke στοχεύει σε μια ευπάθεια που δεν είχε επιδιορθωθεί από την Oracle την εποχή οι επιθέσεις, δήλωσε η Kaspersky Lab σε μια θέση blog. Τα ευπάθειες που δημοσιοποιούνται ή εκμεταλλεύονται πριν την κυκλοφορία μιας ενημερωμένης έκδοσης κώδικα είναι γνωστά ως τρωτά σημεία μηδέν, πολλά από τα οποία έχουν χρησιμοποιηθεί στις επιθέσεις εναντίον της Java φέτος.

[Περαιτέρω ανάγνωση: Πώς να αφαιρέσετε το κακόβουλο λογισμικό από τον υπολογιστή σας των Windows]

Τον Φεβρουάριο, οι μηχανικοί λογισμικού από τη Microsoft, την Apple, το Facebook και το Twitter είχαν τους φορητούς υπολογιστές τους να μολυνθούν από κακόβουλο λογισμικό μετά την επίσκεψη σε μια ιστοσελίδα της κοινότητας για προγραμματιστές του iOS που είχαν ενοχληθεί με εκμετάλλευση μηδενικού μηνύματος Java. Οι παραβιάσεις ήταν αποτέλεσμα μιας μεγαλύτερης "επίθεσης τρύπας" που ξεκίνησε από πολλαπλούς ιστότοπους που επηρέασαν επίσης κυβερνητικούς οργανισμούς και εταιρείες σε άλλες βιομηχανίες, ανέφερε ο The Security Ledger.

Η Oracle ανταποκρίθηκε στις επιθέσεις με την έκδοση δύο ενημερώσεων ασφαλείας έκτακτης ανάγκης έναρξη του έτους και επιτάχυνση της απελευθέρωσης προγραμματισμένης ενημερωμένης έκδοσης κώδικα. Έχει επίσης αυξήσει την προεπιλεγμένη ρύθμιση των στοιχείων ελέγχου ασφαλείας για τις μικροεφαρμογές Java σε υψηλά επίπεδα, εμποδίζοντας τις εφαρμογές Java που βασίζονται στο Web να εκτελούν εσωτερικά προγράμματα περιήγησης χωρίς επιβεβαίωση του χρήστη.

Οι ειδικοί ασφαλείας λένε ότι είναι καλή αρχή, αλλά πιστεύουν ότι πρέπει να γίνουν περισσότερα το ποσοστό υιοθέτησης για ενημερώσεις και τη βελτίωση της διαχείρισης των ελέγχων ασφάλειας Java σε εταιρικά περιβάλλοντα. Το πιο σημαντικό, λένε, η Oracle θα πρέπει να επανεξετάσει διεξοδικά τον κώδικα της Java για να εντοπίσει και να διορθώσει τα βασικά ζητήματα ασφαλείας. Πιστεύουν ότι η Java θα είναι πιο ασφαλής σήμερα αν η Oracle είχε ακούσει τις προειδοποιήσεις της βιομηχανίας ασφαλείας με την πάροδο των ετών.

"Είναι δύσκολο να πούμε τι συμβαίνει εσωτερικά στην Oracle εδώ και χρόνια, αλλά με βάση μια εξωτερική εντύπωση που αισθάνομαι θα μπορούσαν να έχουν αντιδράσει νωρίτερα ", δήλωσε ο Carsten Eiram, επικεφαλής ερευνητής στην εταιρεία παροχής συμβουλών Risk Based Security, μέσω ηλεκτρονικού ταχυδρομείου. "Δεν είμαι βέβαιος ότι η Oracle πήρε πραγματικά τις προβλέψεις ότι η Java θα είναι ο επόμενος μείζων στόχος."

Είναι απίθανο ότι η Oracle θα μπορούσε να είχε αποτρέψει τις πρόσφατες επιθέσεις, είπε, αλλά θα ήταν σε καλύτερη θέση αν είχε ενεργήσει νωρίτερα να διασφαλίσουμε τον κώδικα και να προσθέσουμε περισσότερα επίπεδα ασφάλειας

«Νομίζω ότι η τρέχουσα κατάσταση της ασφάλειας της Java οφείλεται στο γεγονός ότι ο Ήλιος έσπρωξε πολύ έντονα την Ιάβα όταν την κατείχαν», δήλωσε ο Κοντίνο Ράιου, διευθυντής της παγκόσμιας έρευνας και την ομάδα ανάλυσης στο Kaspersky Lab, μέσω ηλεκτρονικού ταχυδρομείου. "Μετά την εξαγορά της Java από την Oracle, ίσως ελάχιστο ενδιαφέρον είχε το έργο αυτό."

Η Oracle απέκτησε Java όταν αγόρασε την Sun Microsystems το 2010. Το λογισμικό εγκαθίσταται σε 1,1 δισ. Υπολογιστές παγκοσμίως, σύμφωνα με πληροφορίες στο Java.com. Η εκτεταμένη ανάπτυξή του και η διασυνοριακή φύση του καθιστούν ελκυστικό στόχο για τους χάκερς. Οι ερευνητές της Security Explorations, μια πολωνική ερευνητική εταιρεία ευπάθειας, ανακάλυψαν και ανέφεραν 55 τρωτά σημεία στα δρομολόγια Java που διατηρούσε η Oracle, η IBM και η Apple κατά το τελευταίο έτος, 36 από τα οποία κυκλοφόρησαν στην έκδοση της Oracle.

"Τον Απρίλιο του 2012, αναφέρθηκαν 30 ζητήματα ασφάλειας στην Oracle που επηρεάζουν το Java SE 7", δήλωσε ο ιδρυτής του Adam Gowdiak, Security Explorations. "Αυτό ήταν περίπου την ίδια στιγμή που βρέθηκε το trojan Flashback Mac OS στη φύση. Και οι δύο θα έπρεπε να έχουν λειτουργήσει ως κλήση ξυπνητηριού για την Oracle. "

Η Kaspersky Lab ανέφερε ότι σε κάθε δεδομένη χρονική στιγμή πέρυσι, ένας στους τρεις χρήστες τρέχει μια έκδοση Java που ήταν ευάλωτη σε ένα από τα πέντε σημαντικά exploits που χρησιμοποίησε χάκερ. Στις εποχές αιχμής, πάνω από το 60% των χρηστών είχαν εγκατεστημένη μια ευάλωτη έκδοση Java.

Η παροχή ενός σιωπηλού μηχανισμού αυτόματης ενημέρωσης, όπως του Chrome, του Flash Player, του Adobe Reader και άλλου λογισμικού, μπορεί να βοηθήσει τους καταναλωτές. Εντούτοις, οι επιχειρήσεις θα απενεργοποιήσουν τέτοιες δυνατότητες

Ξεκινώντας με το Java 7 Update 10 που κυκλοφόρησε τον Δεκέμβριο, η Oracle παρέχει νέες επιλογές στον πίνακα ελέγχου Java που επιτρέπουν στους χρήστες να απενεργοποιούν το Java plugin από προγράμματα περιήγησης ή ζητήστε επιβεβαίωση πριν από την εκτέλεση των Java applets.Από την Java 7 Update 11, η προεπιλεγμένη ρύθμιση για αυτό το μηχανισμό έχει ρυθμιστεί σε υψηλό επίπεδο, αποτρέποντας την αυτόματη εκτέλεση των μικροεφαρμογών Java χωρίς την επιβεβαίωση του χρήστη.

"Πιστεύω ότι τα νέα χαρακτηριστικά ασφάλειας στη Java δείχνουν ότι η Oracle κινείται προς τη σωστή κατεύθυνση ", δήλωσε ο Wolfgang Kandek, CTO της Qualys, ο οποίος πωλεί προϊόντα διαχείρισης ευπάθειας και συμμόρφωσης με την πολιτική. Η δημιουργία της Java ακόμα πιο ευπροσάρμοστη θα βοηθούσε τους διαχειριστές της πληροφορικής να την αναπτύξουν με τρόπο που να ανταποκρίνεται στις απαιτήσεις των οργανισμών τους

"Θα ήθελα να καλωσορίσω τις δυνατότητες λευκής καταχώρησης στην Java, δηλαδή απαγορεύοντας σε όλους τους εγκεκριμένους ιστότοπους να χρησιμοποιούν τον μηχανισμό των μικροεφαρμογών, "Είπε ο Κανκ. "Ταυτόχρονα, θα πρέπει να βελτιωθεί η κεντρική διαχείριση των δυνατοτήτων διαμόρφωσης της Java, δηλαδή μέσω του Windows GPO [Group Policy]."

Η Kandek πιστεύει ότι η Oracle αντιμετωπίζει μια μεγαλύτερη πρόκληση στη σκλήρυνση της Java έναντι επιθέσεων από άλλες εταιρείες λογισμικού δικά τους προϊόντα. "Η Java είναι μια πλήρης γλώσσα προγραμματισμού και πρέπει να είναι σε θέση να εκτελέσει το πλήρες φάσμα των ενεργειών … συμπεριλαμβανομένων των εργασιών χαμηλού επιπέδου του λειτουργικού συστήματος."

Τούτου λεχθέντος, οι Eiram και Gowdiak δήλωσαν ότι η Oracle χρειάζεται να βελτιώσει την ποιότητα του κώδικα της Java "Οι πωλητές λογισμικού έχουν την ευθύνη να παρέχουν ασφαλές κώδικα συγκεκριμένης ποιότητας και οι πωλητές ευρέως αναπτυγμένου λογισμικού όπως το Flash Player ή η Java απλά δεν έχουν καμία δικαιολογία" Είπε ο Eiram. "Η Adobe το συνειδητοποίησε και έχει κάνει μια σοβαρή και επιτυχημένη προσπάθεια να βελτιώσει τον κώδικα της. Η Microsoft έκανε τα ίδια πολλά χρόνια πριν. Ήρθε η ώρα για την Oracle να ακολουθήσει αυτά τα βήματα.

Υπάρχουν ενδείξεις ότι οι προγραμματιστές της Oracle δεν γνωρίζουν τις παγίδες ασφαλείας της Java και ότι οι ανασκοπήσεις ασφαλείας κώδικα είτε δεν έγιναν καθόλου είτε δεν είναι αρκετές, δήλωσε ο Gowdiak. Πολλά από τα θέματα που εντοπίστηκαν από τις Εξετάσεις Ασφαλείας παραβιάζουν τις οδηγίες της Oracle για την ασφαλή κωδικοποίηση για την Java.

"Βρήκαμε πολλά ελαττώματα τα οποία θα έπρεπε να είχαν εξαλειφθεί από την εταιρεία κατά τη διάρκεια μιας ολοκληρωμένης ανασκόπησης ασφάλειας της πλατφόρμας πριν από την, δήλωσε ο Gowdiak.

Η Oracle θα πρέπει να εφαρμόσει έναν σταθερό κύκλο ασφαλέιας ανάπτυξης για την Java για να εξαλείψει τα βασικά σημεία ευπάθειας και να αυξήσει την ωριμότητα του κώδικα, δήλωσε ο Eiram. Το SDL είναι μια διαδικασία ανάπτυξης λογισμικού που δίνει έμφαση στις ανασκοπήσεις ασφαλείας κώδικα και στις ασφαλείς πρακτικές ανάπτυξης για τη μείωση των τρωτών σημείων.

Η καλύτερη προσέγγιση θα ήταν να διασφαλιστεί ότι οι προγραμματιστές έχουν εκπαιδευτεί κατάλληλα κάνοντας εσωτερικές εκπαιδευτικές συνεδρίες, όπως έκανε η Microsoft, με τη βοήθεια εξωτερικών ελεγκτών, δήλωσε ο Eiram. "Η Oracle δήλωσε ότι θα επιταχύνει τον κύκλο επιδιόρθωσης για Java από 4 μήνες έως 2 μήνες και υποσχέθηκε να επικοινωνήσει καλύτερα σχετικά με τα θέματα ασφάλειας της Java με όλα τα ακροατήρια, συμπεριλαμβανομένων των καταναλωτών, των επαγγελματιών πληροφορικής, των ερευνητών του Τύπου και της ασφάλειας. Τα μεγάλα χρονικά διαστήματα μεταξύ των ενημερώσεων ασφαλείας της Java και της έλλειψης επικοινωνίας της Oracle σχετικά με την ασφάλεια έχουν επί μακρόν επικριθεί.

"Θα είναι ενδιαφέρον να δούμε αν θα τιμήσουν την υπόσχεσή τους να επικοινωνούν καλύτερα με το κοινό και τον Τύπο. Στο παρελθόν, κατά την άποψή μου, υπήρξε απόλυτα αλαζονική και αρνήθηκε να σχολιάσει τα αναφερθέντα τρωτά σημεία, ακόμα και την εγκυρότητά τους », δήλωσε ο Eiram.

Η πολιτική της μη σχολιασμού ζητημάτων ασφαλείας, τα οποία η Oracle είπε ότι ήταν αναγκαία για την προστασία των χρηστών, είχε ως αποτέλεσμα οι χρήστες να μην γνωρίζουν εάν οι εξωτερικά αναφερόμενες απειλές ήταν πραγματικές ή τι έκανε η Oracle γι 'αυτούς, είπε. "Αυτή η προσέγγιση για την ασφάλεια και την ανταπόκριση ανήκει στην προηγούμενη χιλιετία."

Οι ειδικοί ασφαλείας δεν περιμένουν από την Oracle να λύσει όλα τα προβλήματα στο εγγύς μέλλον με τρόπο που θα αποτρέψει τους καθορισμένους επιτιθέμενους. Τα προβλήματα ασφάλειας της Java τελειώνουν σύντομα ", δήλωσε ο Eiram. "Η Microsoft και η Adobe χρειάστηκαν λίγο χρόνο για να γυρίσουν τη βάρκα και τα προϊόντα τους εξακολουθούν να υπόκεινται σε μηδενικές [εκμεταλλεύσεις]. Η Java έχει πολλά να προσφέρει στους επιτιθέμενους, οπότε περιμένω να διατηρήσουν την προσοχή τους επί του παρόντος. "

" Δεν περίμενα σύντομα λύσεις ", ανέφερε ο Kandek. "Οι διαχειριστές πληροφορικής θα πρέπει να επενδύσουν το χρόνο τους στην κατανόηση του πού χρειάζονται την Java στην επιφάνεια εργασίας και από πού μπορούν να την περιορίσουν."

Οι ειδικοί ασφαλείας συμφωνούν ότι η Java πρέπει να απενεργοποιείται όπου δεν είναι απαραίτητη, τουλάχιστον στο επίπεδο του προγράμματος περιήγησης. Πολλοί χρήστες δεν γνωρίζουν καν ότι έχουν εγκαταστήσει Java στους υπολογιστές τους. Αυτός είναι ίσως ο λόγος για τον οποίο η Google και η Mozilla επέλεξαν να περιορίσουν την προσθήκη Java σε Chrome και Firefox, δήλωσε ο Raiu.

Η Apple έχει επίσης εξαντλήσει τις ευάλωτες εκδόσεις του Java plugin σε Mac OS X και τα Windows έχουν ρύθμιση μητρώου που μπορεί να περιορίσει τη χρήση της Java Internet Explorer σε αξιόπιστους ιστότοπους.

Ενώ πολλοί οικιακοί χρήστες δεν χρειάζονται Java στα προγράμματα περιήγησης τους, ενδέχεται να υπάρχουν άνθρωποι σε ορισμένα μέρη του κόσμου. Στη Δανία, για παράδειγμα, οι ηλεκτρονικές τραπεζικές υπηρεσίες και οι κυβερνητικές ιστοσελίδες χρησιμοποιούν έναν μηχανισμό σύνδεσης που ονομάζεται NemID που απαιτεί υποστήριξη Java, ανέφερε ο Eiram. Παρόμοιες περιπτώσεις ενδέχεται να υπάρχουν σε άλλες χώρες.

Στις περιπτώσεις αυτές, η χρήση της δυνατότητας κλικ-αναπαραγωγής στο Chrome και τον Firefox ή ο μηχανισμός Zones στο IE θα μπορούσε να χρησιμοποιηθεί για να επιτρέψει τη φόρτωση περιεχομένου Java μόνο από συγκεκριμένους ιστότοπους. Μια λιγότερο τεχνική λύση θα ήταν να χρησιμοποιήσετε ένα πρόγραμμα περιήγησης με Java απενεργοποιημένο για γενικές εργασίες και ένα διαφορετικό πρόγραμμα περιήγησης με δυνατότητα Java για αξιόπιστους ιστότοπους που χρειάζονται υποστήριξη από το Java

Περιορισμός της χρήσης της Java σε εταιρικά περιβάλλοντα είναι πιο δύσκολη. Πολλές εταιρείες χρησιμοποιούν εσωτερικές και εξωτερικές εφαρμογές που βασίζονται στο Web και απαιτούν την εκτέλεση του plugin του προγράμματος περιήγησης Java. Χαρακτηριστικά όπως το click-to-play δεν είναι κατάλληλα για εταιρικά περιβάλλοντα όπου οι πολιτικές πρέπει να διαχειρίζονται και να επιβάλλονται κεντρικά.

"Η βελτίωση της διαμόρφωσης της Java θα βοηθήσει τους διαχειριστές IT να αναπτύξουν την Java με τον κατάλληλο τρόπο για τις απαιτήσεις του οργανισμού", δήλωσε ο Kandek. "Τα υψηλότερα επίπεδα προεπιλεγμένης ασφάλειας και η εύκολη αποσύνδεση από το πρόγραμμα περιήγησης είναι μια καλή αρχή, αλλά πιστεύω ότι θα χρειαστεί να βελτιώσουμε τις δυνατότητες των browsers ή των plug-ins Java."

Προς το παρόν, ο μηχανισμός Zone στο IE προσφέρει το πιο εξελιγμένο δυναμικό διαχείρισης για το Java plugin σε εταιρικά περιβάλλοντα, δήλωσε ο Kandek.

Το πρόσφατο κύμα επιθέσεων που βασίζονται στην Java, συμπεριλαμβανομένης εκείνης που προκάλεσε παραβιάσεις ασφαλείας στη Microsoft, το Facebook, την Apple και το Twitter, φήμη, είπε ο Eiram. Αλλά εάν οι επιχειρήσεις είχαν εμπιστοσύνη στην Java ως ασφαλείς και ασφαλείς, «δεν έλαβαν για αρκετό καιρό τις άφθονες προειδοποιήσεις που έδωσαν οι ερευνητές», δήλωσε.

Δεν είναι μόνο η φήμη της Java που μπορεί να είχε καταστραφεί. Είναι πιθανό ορισμένες εταιρείες να ρωτούν αν η κακή ασφάλεια της Java αντανακλάται σε άλλα προϊόντα της Oracle, δήλωσε ο Gowdiak.

Η Eiram ελπίζει ότι οι πρόσφατες επιθέσεις θα αναγκάσουν τις εταιρείες να επανεξετάσουν εάν χρειάζονται Java στο περιβάλλον τους. μεταναστεύουν σε καθαρές εφαρμογές που βασίζονται σε HTML5 και απομακρύνονται από plugins όπως το Flash, Silverlight και Java ", ανέφερε ο Kandek. "Η Java θα συνεχίσει να αναπτύσσεται από την πλευρά του διακομιστή, όπου είναι απαραίτητες οι ισχυρές δυνατότητες επεξεργασίας της."