Forskere: Java's sikkerhedsproblemer forventes ikke at blive løst snart

Hackere har siden udgangen af ​​året udnyttet sårbarheder i Java at udføre en række angreb mod virksomheder, herunder Microsoft, Apple, Facebook og Twitter, såvel som hjemmebrugere. Oracle har bestræbt sig på at reagere hurtigere på truslerne og for at styrke sin Java-software, men sikkerhedseksperter siger, at angrebene næppe vil give op snart.

Sikkerhedsforskere sagde i dag hackerne bag den nyligt afdækkede MiniDuke cyberespionage-kampagnen brugte webbaserede udnyttelser til Java og Internet Explorer 8 sammen med en Adobe Reader-udnyttelse for at kompromittere deres mål. I sidste måned inficerede MiniDuke malware 59 computere, der tilhører offentlige organisationer, forskningsinstitutter, tænketanke og private virksomheder fra 23 lande.

Java-udnyttelsen, der blev brugt af MiniDuke, rettede mod en sårbarhed, der ikke var blevet patchet af Oracle på tidspunktet for angrebene sagde kaspersky lab i et blogindlæg. Sårbarheder, der offentliggøres eller udnyttes, før en patch frigives, kaldes nuldagssårbarheder, hvoraf flere er blevet brugt i angrebene mod Java i år.

[Yderligere læsning: Sådan fjernes malware fra din Windows-pc]

I februar havde softwareingeniører fra Microsoft, Apple, Facebook og Twitter deres arbejde bærbare computere inficeret med malware, efter at have besøgt et fællesskabswebsted for iOS-udviklere, der var rigget med en Java-nul-dag udnyttelse. Overtrædelserne var resultatet af et større angreb fra vandhullet, der blev lanceret fra flere websteder, der også ramte regeringsorganer og virksomheder i andre industrier, rapporterede Security Ledger.

Oracle har reageret på angrebene ved at udstede to nødsikkerhedsopdateringer siden begyndelsen af ​​året og fremskynde frigivelsen af ​​en planlagt patch. Det har også hævet standardindstillingen af ​​sikkerhedskontrollerne for Java-applets til høj, hvilket forhindrer web-baserede Java-applikationer fra at køre inde i browsere uden brugerbekræftelse.

Sikkerhedseksperter siger, at dette er en god start, men tror mere skal gøres for at øge vedtagelseshastigheden for opdateringer og for at forbedre styringen af ​​Java-sikkerhedskontrol i virksomhedernes miljøer. Endnu vigtigere, siger de, Oracle bør gennemgå sin Java-kode grundigt for at identificere og rette de grundlæggende sikkerhedsproblemer. De tror, ​​at Java ville være mere sikkert i dag, hvis Oracle havde lyttet til sikkerhedsbranchens advarsler gennem årene.

"Det er svært at sige, hvad der har foregået internt i Oracle i de seneste år, men baseret på et eksternt indtryk, jeg føler de kunne have reageret hurtigere, "sagde Carsten Eiram, chefforsker ved konsulentfirmaet Risk Based Security, via e-mail. "Jeg er ikke sikker på, at Oracle virkelig tog forudsigelserne om, at Java er det næste store mål alvorligt."

Det er usandsynligt, at Oracle kunne have forhindret de seneste angreb, sagde han, men det ville være bedre, hvis det havde handlet før at sikre sin kode og tilføje flere sikkerhedslag.

"Jeg tror, ​​at den aktuelle tilstand af Java-sikkerhed skyldes, at Sun skubber Java meget stærkt, da de stadig ejer det," siger Costin Raiu, direktør for den globale forskning og analyseteam på Kaspersky Lab via e-mail. "Efter Oracle købte Java, gik måske lidt interesse i dette projekt."

Oracle købte Java, da den købte Sun Microsystems i 2010. Softwaren er installeret på 1,1 milliarder stationære computere verden over, ifølge oplysninger på Java.com. Dens udbredte implementering og cross platform-karakter gør det til et attraktivt mål for hackere. Forskere ved Security Explorations, et polsk sårbarhedsforskningsfirma, har fundet og rapporteret 55 sårbarheder i Java runtime, der blev opretholdt af Oracle, IBM og Apple i løbet af det seneste år, 36 af dem i Oracle's version.

"I april 2012 rapporterede vi 30 sikkerhedsproblemer til Oracle, der berørte Java SE 7," Adam Gowdiak, Security Explorations 'grundlægger, sagde via e-mail. "Det var omkring samme tid, at Flashback Mac OS trojanen blev fundet i det vilde. Begge skulle have fungeret som et vågne opkald til Oracle. "

Kaspersky Lab har rapporteret, at en ud af tre brugere på et givet tidspunkt løb en version af Java, der var sårbar over for en af ​​de fem store udbytter, der blev brugt af hackere. I spidsbelastninger havde mere end 60 procent af brugerne en sårbar Java-version installeret.

Det kan være nyttigt for forbrugerne at levere en stille, automatisk opdateringsmekanisme som den, der findes i Chrome, Flash Player, Adobe Reader og anden software. Men virksomhederne vil sandsynligvis deaktivere sådanne funktioner, sagde han.

Fra og med Java 7 Update 10, der blev udgivet i december, har Oracle givet nye muligheder i Java-kontrolpanelet, der giver brugerne mulighed for at deaktivere Java-pluginet fra browsere eller tvinge Java til bede om bekræftelse før Java-applets execute. Siden Java 7 Update 11 er standardindstillingen for denne mekanisme sat til høj, hvilket forhindrer, at usignerede Java-applets kører automatisk uden brugerbekræftelse.

"Jeg tror de nye sikkerhedsfunktioner i Java viser, at Oracle bevæger sig i den rigtige retning, "siger Wolfgang Kandek, CTO of Qualys, som sælger sårbarhedsstyring og politik compliance produkter. At gøre Java endnu mere konfigurerbar ville hjælpe IT-administratorer med at implementere det på en måde, der opfylder kravene i deres organisationer.

"Jeg vil gerne byde på hvidlistingsfunktioner i Java, dvs. at forbyde alle men godkendte websteder at bruge appletmekanismen, "Sagde kandek. "Samtidig skal central styring af Java-konfigurationsfunktionerne, dvs. via Windows GPO [Gruppepolitik], forbedres."

Kandek mener, at Oracle står over for en større udfordring i at hærge Java mod angreb, end andre softwarefirmaer gjorde med deres egne produkter. "Java er et komplet programmeringssprog og skal kunne udføre det fulde spektrum af handlinger … herunder operationer på lavt niveau operativsystem."

Både Eiram og Gowdiak sagde begge, at Oracle har brug for at forbedre kvaliteten af ​​sin Java-kode fra et sikkerhedsmæssigt perspektiv, for lige nu er det forholdsvis let at finde sårbarheder.

"Softwareleverandører har et ansvar for at levere sikker kode af en bestemt kvalitet, og leverandører af software, der er meget udbredt, f.eks. Flash Player eller Java, har simpelthen ingen undskyldning." Sagde eiram. "Adobe realiserede dette og har gjort en seriøs og vellykket indsats for at forbedre deres kode. Microsoft gjorde det samme for mange år siden. Det er på tide, at Oracle følger i disse fodspor. "

Der er tegn på, at Oracle's udviklere ikke er uvidende om Java's faldgruber, og at kodekonsekvensvurderingerne heller ikke er færdige eller ikke omfattende nok, siger Gowdiak. Mange af de problemer, der er identificeret af sikkerhedsundersøgelser, overtræder Oracles egne sikre kodningsretningslinjer for Java, sagde han.

"Vi fandt mange fejl, som burde have været elimineret af virksomheden på tidspunktet for en omfattende sikkerhedsundersøgelse af platformen forud for dens frigivelse ", siger Gowdiak.

Oracle bør implementere en solid Secure Development Lifecycle for Java for at udrydde grundlæggende sårbarheder og øge kodenes modenhed, sagde Eiram. En SDL er en softwareudviklingsproces, der understreger kodesikkerhedsvurderinger og sikre udviklingspraksis for at reducere sårbarheder.

Den bedste tilgang ville være at sikre, at udviklere er ordentligt uddannet ved at holde interne træningssessioner, som Microsoft gjorde, og at gennemgå den eksisterende kode med hjælp fra eksterne revisorer, sagde eiram. "Oracle kan lige så godt indgå nogle af de dygtige forskere, der kigger på deres kode alligevel."

Oracle har sagt, at det ville accelerere patchcyklusen for Java fra 4 måneder til 2 måneder og lovede at kommunikere bedre om Java-sikkerhedsproblemer med alle publikum, herunder forbrugere, it-fagfolk, presse- og sikkerhedsforskere. De lange intervaller mellem Java-sikkerhedsopdateringer og Oracle's manglende kommunikation om sikkerhed er længe blevet kritiseret.

"Det vil være interessant at se, om de vil respektere deres løfte om at kommunikere bedre med offentligheden og presse. Tidligere har de - efter min mening - været ret arrogant og nægtede at kommentere rapporterede sårbarheder, og endog deres gyldighed, "sagde Eiram.

Politikken om ikke at kommentere sikkerhedsspørgsmål, hvilket Oracle sagde var nødvendigt for at beskytte brugere, resulterede i, at brugere ikke vidste, om eksternt rapporterede trusler var virkelige eller hvad Oracle havde at gøre med dem, sagde han. "Denne tilgang til sikkerhed og lydhør hører til i det foregående årtusinde."

Sikkerhedseksperter forventer ikke, at Oracle løser alle problemerne i den nærmeste fremtid på en måde, der vil afholde bestemte angriberne.

"Jeg forventer ikke Java's sikkerhedsproblemer slutter helst snart, "sagde Eiram. "Det tog både Microsoft og Adobe et stykke tid at vende båden rundt, og deres produkter er stadig underlagt nul-dag [udnytter] fra tid til anden. Java har meget at tilbyde angribere, så jeg forventer, at de holder fokus på det for nu. "

" Jeg ville ikke forvente løsninger nogen gang snart, "sagde Kandek. "IT-administratorer bør investere deres tid til at forstå, hvor de har brug for Java på skrivebordet, og hvor de kan begrænse det."

Sikkerhedseksperter er enige om, at Java skal deaktiveres, hvor det ikke er nødvendigt, i hvert fald på browserniveau. Mange brugere ved ikke engang, at de har Java installeret på deres computere. Det er nok derfor, at Google og Mozilla valgte at begrænse Java-pluginet i Chrome og Firefox, sagde Raiu.

Apple har også blacklisted sårbare versioner af Java-plugin'et på Mac OS X, og Windows har en registreringsindstilling, der kan begrænse Java-brug i Internet Explorer til betroede websteder.

Selvom mange hjemmebrugere ikke har brug for Java i deres browsere, kan folk i nogle dele af verden. I Danmark bruger f.eks. Online banking og offentlige hjemmesider en log-in-mekanisme kaldet NemID, der kræver Java-support, sagde Eiram. Lignende tilfælde kan forekomme i andre lande.

I disse tilfælde kan brugen af ​​klik-til-afspilningsfunktionen i Chrome og Firefox eller Zones-mekanismen i IE bruges til at lade Java-indhold indlæses fra kun bestemte websteder. En mindre teknisk løsning ville være at bruge en browser med Java deaktiveret til generelle opgaver, og en anden browser med Java aktiveret for pålidelige websteder, der har brug for Java-support.

Det er vanskeligere at begrænse brugen af ​​Java i virksomhedsmiljøer. Mange virksomheder anvender interne og eksterne web-baserede applikationer, der kræver, at Java-browser plugin skal køre. Funktioner som klik-til-afspilning er ikke egnede til virksomheders miljøer, hvor politikkerne skal styres centralt og håndhæves.

"At gøre Java mere konfigurerbar, vil hjælpe IT-administratorer at implementere Java på den rigtige måde for organisationens krav," siger Kandek. "Højere standard sikkerhedsniveauer og den nemme afbrydelse fra browseren er en god start, men jeg tror, ​​vi bliver nødt til at forbedre whitelistingsfunktionerne i browsere eller Java-plugins."

I øjeblikket er Zone-mekanismen i IE giver de mest skalerbare styringsfunktioner til Java-pluginet i virksomhedernes miljøer, har Kandek sagt.

Den seneste bølge af Java-baserede angreb, herunder den, der resulterede i sikkerhedsbrud på Microsoft, Facebook, Apple og Twitter, kan have beskadiget Java's Omdømme, sagde Eiram. Men hvis virksomheder havde tillid til Java for at være trygge, "har de ikke fulgt de rigelige advarsler fra forskere i et stykke tid," sagde han.

Det er ikke kun Java's ry, der kunne have været beskadiget. Det er sandsynligt, at nogle virksomheder spørger, om Java's dårlige sikkerhed afspejles i andre Oracle-produkter, siger Gowdiak.

Eiram håber, at de seneste angreb vil få virksomhederne til at revurdere, om de har brug for Java i deres omgivelser.

"Selskaber generelt migrerer til rene HTML5-baserede applikationer og flytter væk fra plugins som Flash, Silverlight og Java, "siger Kandek. "Java vil fortsætte med at vokse på serversiden, hvor dens kraftfulde forarbejdningskapacitet er absolut nødvendig."