Výzkumníci: Problémy s bezpečností Java pravděpodobně nebudou brzy vyřešeny

Od začátku roku hackeři využívají zranitelnosti v Javě provést řadu útoků proti firmám včetně společností Microsoft, Apple, Facebook a Twitter, stejně jako domácí uživatelé. Oracle se snažil rychleji reagovat na hrozby a posílit svůj software Java, ale bezpečnostní experti tvrdí, že útoky pravděpodobně nebudou brzy opustit.

Tento týden výzkumníci bezpečnosti uvedli, že hackeři za nedávno odkryté MiniDuke kampaň cyberespionage využívala webové technologie využívající technologie Java a Internet Explorer 8 spolu s využíváním programu Adobe Reader k ohrožení jejich cílů. Minulý měsíc napadl malware MiniDuke 59 počítačů patřících vládním organizacím, výzkumným ústavům, think-tankům a soukromým společnostem z 23 zemí.

Java exploit použitý společností MiniDuke cíloval zranitelnost, kterou Oracle v době útoky, řekl Kaspersky Lab na blog post. Chyby zabezpečení, které jsou zveřejněny nebo zneužívány před uvolněním opravy, jsou známé jako zranitelnosti v nulové době, z nichž některé byly v letošním roce použity při útoku na Java.

[Další informace: Odstranění malwaru z počítače se systémem Windows]

Softwarové inženýry z Microsoft, Apple, Facebook a Twitter měli v únoru své pracovní notebooky nakaženy malwarem po návštěvě webové stránky komunity pro vývojáře iOS, které byly zmanipulovány pomocí Java zero-day exploit. Porušení bylo výsledkem většího útoku "zavlažovacího otvoru", který byl spuštěn z několika internetových stránek, které postihly také vládní agentury a společnosti v jiných odvětvích, hlásila The Security Ledger.

Společnost Oracle reagovala na útoky vydáním dvou nouzových bezpečnostních aktualizací počátku roku a urychlení uvolnění naplánované opravy. Také zvýšila výchozí nastavení ovládacích prvků zabezpečení pro applety Java na vysokou úroveň, což zabraňuje tomu, aby aplikace Java na webu používaly vnitřní prohlížeče bez potvrzení uživatele.

Bezpečnostní experti tvrdí, že je to dobrý začátek, ale myslíte si, míra přijetí aktualizací a zlepšení správy zabezpečení java v podnikových prostředích. Ještě důležitější je, říká, Oracle by měl důkladně zkontrolovat svůj kód Java, aby identifikoval a opravil základní bezpečnostní problémy. Jsou přesvědčeni, že Java by byl dnes bezpečnější, kdyby Oracle v uplynulých letech naslouchal bezpečnostním odvětvím.

"Je těžké říct, co se děje v Oracle v minulých letech, ale na základě vnějšího dojmu se cítím mohli reagovat dřív, "řekl Carsten Eiram, hlavní výzkumný pracovník poradenské firmy Risk Based Security, e-mailem. "Jsem si jistý, že Oracle skutečně vzal předpovědi, že Java je další důležitý cíl vážně."

Je nepravděpodobné, že by Oracle mohl zabránit nedávným útokům, řekl, ale bylo by lepší, kdyby jednal dříve aby si zajistil jeho kód a přidal další vrstvy zabezpečení.

"Myslím, že současný stav bezpečnosti Java je způsoben skutečností, že společnost Sun velmi silně tlačila Java, když ji ještě vlastnili," uvedl Costin Raiu, ředitel globálního výzkumu a tým pro analýzu společnosti Kaspersky Lab, prostřednictvím e-mailu. "Jakmile společnost Oracle zakoupila Java, do tohoto projektu se možná dostal jen malý zájem."

Oracle získal Java, když koupil Sun Microsystems v roce 2010. Software je nainstalován na 1,1 miliardy stolních počítačů po celém světě, podle informací na webu Java.com. Jeho rozsáhlé nasazení a cross-platformní povaha z něj činí atraktivní cíl pro hackery. Výzkumní pracovníci společnosti Security Explorations, polská výzkumná firma zabývající se zranitelnostmi, nalezli a reportovali 55 zranitelných míst v běhu Java, které Oracle, IBM a Apple v uplynulém roce udržovaly, 36 z nich ve verzi Oracle

"V dubnu 2012 jsme ohlásili 30 otázek zabezpečení společnosti Oracle, které postihly Java SE 7", uvedl Adam Gowdiak, zakladatel Security Explorations. "Bylo to přibližně ve stejnou dobu, kdy byl troj Flashback Mac OS nalezen ve volné přírodě. Oba by měli pracovat jako výzva pro Oracle. "

Společnost Kaspersky Lab oznámila, že kdykoli v loňském roce jeden z třech uživatelů provozoval verzi Java, která byla zranitelná vůči jednomu z pěti hlavních exploitů používaných hackerů. V době špičky více než 60 procent uživatelů mělo nainstalovanou zranitelnou verzi Java.

Poskytování tichého mechanismu automatické aktualizace, jako je služba Chrome, přehrávač Flash Player, program Adobe Reader a další software, může pomoci spotřebitelům, řekl Eiram. Nicméně podniky budou pravděpodobné, že tyto funkce budou zakázány, uvedl.

Počínaje aktualizací Java 7, která byla vydána v prosinci, poskytl Oracle v ovládacím panelu Java nové možnosti, které uživatelům umožňují zakázat Java plugin z prohlížečů nebo vynutit Java požádejte o potvrzení, než budou Java applets execute. Od Java 7 Update 11 je výchozí nastavení pro tento mechanismus nastaveno na vysoké a zabraňuje automatickému spuštění nepodepsaných Java appletů bez potvrzení uživatele.

"Věřím, že nové funkce zabezpečení v Javě ukazují, že společnost Oracle se pohybuje správným směrem, "řekl Wolfgang Kandek, technický ředitel společnosti Qualys, který prodává produkty pro správu zranitelností a produkty s dodržováním zásad. Vytváření Java ještě více konfigurovatelné by pomohlo správcům IT nasadit je takovým způsobem, který splňuje požadavky jejich organizací

"Já bych uvítal možnosti white-listing v Javě, tj. Zakázat všem, ale schváleným stránkám používat mechanismus appletu, "Řekl Kandek. "Současně by se měla zlepšit centrální správa konfiguračních funkcí jazyka Java, tj. Pomocí GPO [Group Policy]."

Kandek se domnívá, že společnost Oracle čelí větší výzvě při vytvrzování Java proti útokům, než u ostatních softwarových společností své vlastní produkty. "Java je úplný programovací jazyk a musí být schopen provádět celou škálu akcí … včetně úkolů na nižší úrovni operačního systému."

To znamená, že Eiram a Gowdiak oba uvedli, že Oracle potřebuje zlepšit kvalitu svého Java kódu z bezpečnostního hlediska, protože právě teď je poměrně snadné nalézt zranitelnosti.

Řekl Eiram. "Adobe si to uvědomil a vynaložil vážné a úspěšné úsilí ke zlepšení svého kódu. Microsoft udělal to samé před mnoha lety. Je čas na to, aby společnost Oracle následovala v těchto krocích. "

Existují náznaky, že vývojáři společnosti Oracle si nejsou vědomi bezpečnostních úskalí Java a že recenze týkající se bezpečnostních kódů se buď vůbec nevykonávají, nebo nejsou dostatečně komplexní, řekl Gowdiak. Mnoho problémů zjištěných bezpečnostními průzkumy porušuje vlastní bezpečnostní pokyny společnosti Oracle pro kódování Java.

"Našli jsme mnoho nedostatků, které by společnost měla odstranit v době komplexního bezpečnostního přezkumu platformy před její "říká Gowdiak.

Společnost Oracle by měla zavést pevný vývojový životní cyklus pro vývoj Java, aby odstranil základní zranitelnosti a zvýšil zralost kódu, uvedl Eiram. SDL je proces vývoje softwaru, který zdůrazňuje hodnocení zabezpečení kódu a zabezpečené postupy vývoje s cílem snížit zranitelnosti.

Nejlepším přístupem by bylo zajistit, aby vývojáři byli řádně vyškoleni tím, že vedli interní školení, jak to udělal Microsoft, a aby přezkoumali existující kód s pomocí externích auditorů, řekl Eiram. "Oracle by také mohl uzavřít smlouvu s některými zkušenými výzkumníky, kteří se dívají na svůj kód stejně."

Společnost Oracle uvedla, že urychlí cyklus opravy pro Javu ze 4 měsíců na 2 měsíce a slíbil, že bude lépe komunikovat o bezpečnostních otázkách Java všech diváků, včetně spotřebitelů, odborníků v oblasti informačních technologií, výzkumníků v oblasti tisku a bezpečnosti. Dlouhé intervaly mezi aktualizacemi zabezpečení jazyka Java a nedostatečnou komunikační schopností společnosti Oracle byly již dlouho kritizovány.

"Bude zajímavé zjistit, zda budou dodržovat svůj slib lepší komunikace s veřejností a tiskem. V minulosti byly - podle mého názoru - zcela jednoznačně arogantní a odmítají komentovat hlášené zranitelnosti a dokonce i jejich platnost, "říká Eiram.

Politika, že se nepojednává o bezpečnostních otázkách, které Oracle řekl, uživatelé vedli k tomu, že uživatelé nevědí, zda jsou externě hlášené hrozby skutečné, nebo co Oracle s nimi dělá, řekl. "Tento přístup k bezpečnosti a odezvě patří v předchozím tisíciletí."

Bezpečnostní experti neočekávají, že by Oracle v blízké budoucnosti vyřešil všechny problémy způsobem, který odradí odhodlané útočníky.

"Neočekávám Bezpečnostní problémy Java se brzy skončí, "řekl Eiram. "Společnost Microsoft i společnost Adobe chvíli potřebovali, aby se loď otočila a jejich produkty jsou stále podléhají nulovému dni [exploitům]. Java má hodně nabídnout útočníkům, takže od nich očekávám, že se na ně budou soustředit. "

" Nikdy bych nečekala řešení, "řekl Kandek. "Správci IT by měli investovat svůj čas do pochopení, kde potřebují Java na ploše a kde ji mohou omezit."

Bezpečnostní experti se shodují, že Java by měl být zakázán tam, kde to není nutné, alespoň na úrovni prohlížeče. Mnozí uživatelé dokonce ani nevědí, že mají na svých počítačích nainstalovanou Javu. To je zřejmě důvod, proč se Google a Mozilla rozhodli omezit Java plugin v Chrome a Firefox, uvedl Raiu.

Apple má také zakázané verze Java pluginů v Mac OS X a Windows má nastavení registru, které může omezit použití Java v Internet Explorer k důvěryhodným webům.

Zatímco mnoho domácích uživatelů v jejich prohlížečích nepotřebuje Java, lidé v některých částech světa by mohli. Například v Dánsku online bankovnictví a vládní webové stránky používají mechanismus přihlášení nazývaného NemID, který vyžaduje podporu Java, uvedl Eiram. Podobné případy mohou existovat i v jiných zemích.

V takových případech by bylo možné použít funkci klepnutí pro přehrávání v prohlížečích Chrome a Firefox nebo mechanismus zón v IE, aby bylo možné načítat obsah Java pouze z určitých webových stránek. Méně technickým řešením by bylo použití jednoho prohlížeče s Java zakázaným pro obecné úkoly a jiného prohlížeče s povolenou Java pro důvěryhodné webové stránky, které potřebují podporu Java.

Omezení používání Java v podnikových prostředích je obtížnější. Mnoho společností používá interní i externí webové aplikace, které vyžadují spuštění pluginu Java browser. Funkce, jako je např. "Click-to-play", nejsou vhodné pro firemní prostředí, kde je třeba centrálně řídit a vynucovat zásady.

"Vylepšení konfigurovatelnosti Java pomůže správcům IT nasadit Java správně pro potřeby organizace," řekl Kandek. "Vyšší standardní úrovně zabezpečení a snadné odpojení od prohlížeče jsou dobrý začátek, ale domnívám se, že budeme muset zlepšit možnosti zápisu do prohlížeče nebo pluginy Java."

Prozatím je mechanismus Zone v IE nabízí nejrozšířenější možnosti správy pro Java plugin v podnikových prostředích, uvedl Kandek.

Nedávná vlna útoků založených na jazyce Java, včetně těch, které vedly k narušení zabezpečení ve společnosti Microsoft, Facebook, Apple a Twitter, by mohla poškodit Java pověst, řekl Eiram. Pokud však podniky mají důvěru v Javu jako bezpečnou a bezpečnou, "na nějakou dobu nebrali na vědomí hromadné výstrahy poskytnuté výzkumnými pracovníky," řekl.

Není to jen reputace Java, která by mohla být poškozena. Je pravděpodobné, že některé společnosti se ptají, zda se špatná bezpečnost Java projevuje v jiných produktech Oracle, uvedl Gowdiak.

Eiram doufá, že nedávné útoky způsobí, že společnosti budou znovu vyhodnocovat, zda potřebují Java v jejich prostředích. migrují na čisté aplikace založené na HTML5 a odkládají se od pluginů, jako jsou Flash, Silverlight a Java, "řekl Kandek. "Java bude nadále růst na straně serveru, kde jsou naprosto nezbytné výkonné možnosti zpracování."