Car-tech

Cercetătorii: problemele de securitate ale Java sunt puțin probabil să fie rezolvate în curând

Securitate Cibernetica: Cum sa incepi in domeniu

Securitate Cibernetica: Cum sa incepi in domeniu
Anonim

De la începutul anului, hackerii exploatează vulnerabilitățile din Java pentru a efectua o serie de atacuri împotriva companiilor, inclusiv Microsoft, Apple, Facebook și Twitter, precum și utilizatorii de acasă. Oracle a făcut eforturi pentru a răspunde mai repede la amenințări și pentru a-și consolida software-ul Java, dar experții în securitate spun că este puțin probabil ca atacurile să renunțe în orice moment.

Doar săptămâna aceasta, cercetătorii de securitate au declarat că hackerii din spatele MiniDuke campania cyberespionage a folosit exploitările bazate pe Web pentru Java și Internet Explorer 8, împreună cu un software Adobe Reader exploit, pentru a compromite obiectivele. Luna trecută, malware-ul MiniDuke a infectat 59 de calculatoare aparținând organizațiilor guvernamentale, institutelor de cercetare, grupurilor de reflecție și companiilor private din 23 de țări.

Exploatarea Java folosită de MiniDuke a vizat o vulnerabilitate care nu a fost patchată de Oracle în momentul atacurile, a declarat Kaspersky Lab într-un post pe blog. Vulnerabilitățile care sunt făcute publice sau exploatate înainte ca un patch să fie lansate sunt cunoscute ca vulnerabilități de ordinul zilei, unele dintre ele fiind folosite în atacurile împotriva Java în acest an.

[Citirea suplimentară: Cum să eliminați programele malware de pe PC-ul Windows]

În luna februarie, inginerii de software de la Microsoft, Apple, Facebook și Twitter au avut laptopurile de lucru infectate cu programe malware după ce au vizitat un site web comunitar pentru dezvoltatorii iOS care au fost manipulați cu un exploatație de zero zile. Încălcările au fost rezultatul unui atac mai mare cu "gaura de apă" lansat de pe mai multe site-uri internet care au afectat și agențiile guvernamentale și companiile din alte industrii, a raportat The Security Ledger.

Oracle a răspuns la atacuri prin emiterea a două actualizări de securitate de urgență începutul anului și accelerarea lansării unui planificat planificat. De asemenea, a creat setarea implicită a comenzilor de securitate pentru applet-urile Java la mare, împiedicând aplicațiile Java bazate pe Web să execute browsere interne fără confirmarea utilizatorului.

Experții în securitate declară că este un început bun, dar cred că ar trebui făcut mai mult pentru a crește rata de adoptare pentru actualizări și pentru a îmbunătăți gestionarea controalelor de securitate Java în mediile corporative. Mai important, spun ei, Oracle trebuie să-și revizuiască complet codul Java pentru a identifica și rezolva problemele de securitate de bază. Ei cred că Java ar fi mai sigur astăzi dacă Oracle ar fi ascultat avertismentele din industria de securitate de-a lungul anilor.

"Este greu de spus ceea ce se întâmplă intern la Oracle în ultimii ani, dar pe baza unei impresii externe, mă simt ar fi putut reacționa mai repede ", a spus Carsten Eiram, directorul departamentului de cercetare la firma de consultanță Risk Based Security, prin e-mail. "Nu sunt sigur ca Oracle a luat cu adevarat predictiile ca Java este urmatoarea tinta majora."

Este putin probabil ca Oracle sa fi impiedicat atacurile recente, a spus el, dar ar fi intr-o pozitie mai buna daca ar fi actionat mai devreme pentru a-și asigura codul și a adăuga mai multe straturi de securitate.

"Cred că situația actuală a securității Java se datorează faptului că Sun a împins Java foarte puternic atunci când încă mai deținea", a spus Costin Raiu, și echipa de analiză de la Kaspersky Lab, prin e-mail. "După ce Oracle a cumpărat Java, poate că a intrat puțin în acest proiect."

Oracle a achiziționat Java când a cumpărat Sun Microsystems în 2010. Software-ul este instalat pe 1.1 miliarde de calculatoare desktop din întreaga lume, potrivit informațiilor de la Java.com. Aplicația pe scară largă și natura transfrontalieră îl fac o țintă atractivă pentru hackeri. Cercetătorii de la Explorările de securitate, o firmă poloneză de cercetare a vulnerabilităților, au găsit și au raportat 55 de vulnerabilități în orele de execuție Java, menținute de Oracle, IBM și Apple în ultimul an, dintre care 36 în versiunea Oracle.

"În aprilie 2012, am raportat 30 de probleme de securitate pentru Oracle care afectează Java SE 7", a declarat Adam Gowdiak, fondatorul Explorărilor de securitate, prin e-mail. "A fost cam în același timp că troianul flashback Mac OS a fost găsit în sălbăticie. Ambele ar fi trebuit să funcționeze ca un apel de trezire pentru Oracle. "

Kaspersky Lab a raportat că, la un moment dat anul trecut, unul din trei utilizatori rula o versiune de Java care era vulnerabilă la una dintre cele cinci explozii majore folosite de hackeri. În timpul vârfurilor, mai mult de 60% dintre utilizatori aveau o versiune vulnerabilă Java instalată.

Furnizarea unui mecanism silențios, actualizat automat, cum ar fi cel găsit în Chrome, Flash Player, Adobe Reader și alte programe, ar putea fi util pentru consumatori, a spus Eiram. Cu toate acestea, firmele vor dezactiva probabil aceste caracteristici, a spus el

Începând cu Java 7 Update 10, lansat în decembrie, Oracle a oferit noi opțiuni în panoul de control Java care permit utilizatorilor să dezactiveze pluginul Java din browsere sau să forțeze Java cereți confirmarea înainte ca Java applets să execute. De la Java 7 Update 11, setarea implicită pentru acest mecanism a fost setată la înaltă, împiedicând ca apleturile nesemnate Java să ruleze automat fără confirmarea utilizatorului.

"Cred că noile caracteristici de securitate din Java arată că Oracle se mișcă în direcția cea bună ", a declarat Wolfgang Kandek, directorul CTO al Qualys, care vinde produse de management al vulnerabilității și produse de conformitate. Efectuarea unei configurații mai complexe a Java-ului ar ajuta administratorii IT să-l implementeze într-o manieră care să răspundă cerințelor organizațiilor lor.

"Salut capabilitățile de listări în Java, adică interzicerea tuturor site- Spuse Kandek. "În același timp, managementul central al capabilităților de configurare Java, adică prin Windows GPO [Group Policy], ar trebui îmbunătățit."

Kandek crede că Oracle se confruntă cu o provocare mai mare în întărirea Java împotriva atacurilor pe care alte companii de software le- propriile produse. "Java este un limbaj de programare complet și trebuie să fie capabil să realizeze întreaga gamă de acțiuni … inclusiv sarcini de nivel scăzut ale sistemului de operare."

Acestea fiind spuse, Eiram și Gowdiak au declarat că Oracle trebuie să îmbunătățească calitatea codului său Java din perspectiva securității, pentru că acum este destul de ușor să găsești vulnerabilități.

"Furnizorii de software au responsabilitatea de a furniza codul sigur de o anumită calitate, iar furnizorii de aplicații de largă extindere, cum ar fi Flash Player sau Java, pur și simplu nu au nici o scuză" A spus Eiram. "Adobe a realizat acest lucru și a făcut un efort serios și de succes pentru a-și îmbunătăți codul. Microsoft a făcut același lucru cu mulți ani în urmă. Este timpul ca Oracle să urmeze aceste pași. "

Există indicii că dezvoltatorii Oracle nu sunt conștienți de capcanele de securitate ale Java și că recenziile de securitate a codului nu sunt făcute deloc sau suficient de cuprinzătoare, a spus Gowdiak. Multe dintre problemele identificate de Explorările de Securitate încalcă liniile directoare de securitate ale Oracle pentru Java, a spus el.

"Am descoperit multe defecte care ar fi trebuit să fie eliminate de companie în momentul unei revizuiri globale a securității platformei înainte de "Oracle ar trebui să implementeze un ciclu solid de dezvoltare a securității pentru Java pentru a elimina vulnerabilitățile de bază și pentru a spori gradul de maturitate al codului, a spus Eiram. Un SDL este un proces de dezvoltare software care accentuează revizuirile de securitate a codului și practicile de dezvoltare sigure pentru a reduce vulnerabilitățile.

Cea mai bună abordare ar fi să se asigure că dezvoltatorii sunt pregătiți corespunzător prin organizarea de sesiuni interne de instruire, așa cum a făcut Microsoft, cu ajutorul auditorilor externi, a spus Eiram. "Oracle ar putea contracta si unii cercetatori calificati care se uita la codul lor oricum."

Oracle a declarat ca va accelera ciclul de patch-uri pentru Java de la 4 luni la 2 luni si a promis sa comunice mai bine despre problemele de securitate Java cu toate publicul, inclusiv consumatorii, profesioniștii IT, cercetătorii de presă și de securitate. Intervalele lungi dintre actualizările de securitate Java și lipsa de comunicare a Oracle privind securitatea au fost mult timp criticate.

"Va fi interesant să vedem dacă își vor onora promisiunea de a comunica mai bine cu publicul și cu presa. În trecut, au fost - în opinia mea - au fost arogant și au refuzat să comenteze despre vulnerabilitățile raportate și chiar validitatea lor ", a spus Eiram.

Politica de a nu comenta probleme de securitate, pe care Oracle le-a utilizatorii, au determinat utilizatorii să nu știe dacă amenințările raportate extern au fost reale sau ceea ce a făcut Oracle despre ei, a spus el. "Această abordare a securității și a capacității de reacție aparține mileniului precedent."

Experții în securitate nu se așteaptă ca Oracle să rezolve toate problemele în viitorul apropiat într-un mod care să descurajeze atacatorii determinați. Problemele de securitate ale Java care se termină în curând ", a spus Eiram. "A fost nevoie atat de Microsoft, cât si de Adobe pentru a transforma barca în jurul valorii de, și produsele lor sunt încă supuse la zero [exploata] din când în când. Java are multe de oferit atacatorilor, asa ca ma astept ca ei sa-si pastreze concentrarea asupra ei deocamdata. "

" Nu as fi asteptat solutii in cel mai scurt timp ", a spus Kandek. "Administratorii IT ar trebui să-și investească timpul pentru a înțelege unde au nevoie de Java pe desktop și de unde pot să-l restricționeze."

Experții în securitate sunt de acord că Java ar trebui să fie dezactivat acolo unde nu este necesar, cel puțin la nivel de browser. Mulți utilizatori nici măcar nu știu că au instalat Java pe computerele lor. Acesta este motivul pentru care Google și Mozilla au optat pentru restricționarea pluginului Java în Chrome și Firefox, a spus Raiu.

Apple a inclus, de asemenea, versiuni vulnerabile ale pluginului Java pe Mac OS X, iar Windows are o setare de registry care poate limita utilizarea Java Internet Explorer către site-urile web de încredere.

În timp ce mulți utilizatori de acasă nu au nevoie de Java în browserele lor, oamenii din unele părți ale lumii ar putea. În Danemarca, de exemplu, site-urile bancare online și guvern utilizează un mecanism de logare numit NemID care necesită suport Java, a spus Eiram. Cazuri similare pot exista și în alte țări.

În aceste cazuri, utilizarea funcției clic-pentru-redare în Chrome și Firefox sau mecanismul Zones din IE ar putea fi utilizată pentru a permite încărcarea conținutului Java de la anumite site-uri web. O soluție mai puțin tehnică ar fi folosirea unui browser cu Java dezactivat pentru sarcini generale și un browser diferit cu Java activat pentru site-urile de încredere care au nevoie de suport Java

Restricționarea utilizării Java în mediile corporative este mai dificilă. Multe companii utilizează aplicații interne și externe bazate pe Web care necesită pluginul browserului Java pentru a rula. Caracteristicile precum click-to-play nu sunt potrivite pentru mediile corporatiste unde politicile trebuie să fie gestionate și aplicate la nivel central.

"Efectuarea mai multor configurații Java va ajuta administratorii IT să implementeze Java în mod adecvat cerințelor organizației", a spus Kandek. "Nivelurile mai înalte de securitate implicite și deconectarea ușoară de la browser reprezintă un început bun, dar cred că va trebui să îmbunătățim capabilitățile de listă albă a browserelor sau a pluginurilor Java".

Pentru moment, mecanismul Zone din IE oferă cel mai scalabil capabilități de gestionare a plugin-ului Java în medii corporative, a declarat Kandek.

Valul recent de atacuri bazate pe Java, inclusiv cel care a dus la încălcări ale securității la Microsoft, Facebook, Apple și Twitter, reputație, a spus Eiram. Dar dacă întreprinderile aveau încredere în Java ca fiind sigure și sigure, "ei nu au fost de acord cu avertismentele abundente furnizate de cercetători pentru un timp", a spus el.

Nu este numai reputația Java care ar fi putut fi afectată. Este posibil ca unele companii să se întrebe dacă securitatea Java este slabă în alte produse Oracle, a declarat Gowdiak.

Eiram speră că atacurile recente vor determina companiile să reevalueze dacă au nevoie de Java în mediile lor. migrează în aplicații pure HTML5 și se îndepărtează de pluginuri precum Flash, Silverlight și Java ", a spus Kandek. "Java va continua să crească pe partea de server, în cazul în care capacitățile sale puternice de procesare sunt absolut necesare."