Исследователи: проблемы безопасности Java вряд ли скоро будут решены

С начала года хакеры использовали уязвимости в Java для проведения ряда атак против компаний, включая Microsoft, Apple, Facebook и Twitter, а также домашних пользователей. Oracle приложила все усилия, чтобы быстрее реагировать на угрозы и укрепить свое программное обеспечение на Java, но эксперты по безопасности говорят, что атаки вряд ли скоро раскроятся.

На этой неделе исследователи безопасности заявили, что хакеры за недавно открывшимся MiniDuke Кампания cyberespionage использовала веб-эксплойты для Java и Internet Explorer 8 вместе с эксплойтом Adobe Reader, чтобы скомпрометировать их цели. В прошлом месяце вредоносное ПО MiniDuke заразило 59 компьютеров, принадлежащих правительственным организациям, исследовательским институтам, аналитическим центрам и частным компаниям из 23 стран.

Эксплуатация Java, используемая MiniDuke, предназначалась для уязвимости, которая не была исправлена ​​Oracle во время атаки, сообщает «Лаборатория Касперского» в блоге. Уязвимости, которые обнародованы или были использованы до того, как был выпущен патч, известны как уязвимости с нулевым днем, некоторые из которых были использованы в атаках против Java в этом году.

[Дополнительная информация: Как удалить вредоносное ПО с вашего ПК с ОС Windows]

В феврале у разработчиков программного обеспечения из Microsoft, Apple, Facebook и Twitter были свои рабочие ноутбуки, зараженные вредоносными программами, после посещения веб-сайта сообщества для разработчиков iOS, которые были сфальсифицированы с использованием эксплойта Java с нулевым днем. Нарушения были результатом более крупной атаки на «полив», запущенной с нескольких веб-сайтов, которая также повлияла на правительственные учреждения и компании в других отраслях промышленности, сообщила The Security Ledger.

Oracle ответила на эти атаки, выпустив два обновления для аварийной безопасности, поскольку начало года и ускорение выпуска запланированного патча. Он также поднял стандартную настройку элементов управления безопасности для апплетов Java на высокий уровень, не позволяя веб-приложениям Java выполнять внутри браузеров без подтверждения пользователя.

Эксперты по безопасности говорят, что это хорошее начало, но думаю, что нужно сделать больше, чтобы увеличить скорость принятия обновлений и совершенствование управления элементами управления безопасностью Java в корпоративных средах. Что еще более важно, говорят они, Oracle должна тщательно пересмотреть свой Java-код для выявления и устранения основных проблем безопасности. Они считают, что Java будет более безопасным сегодня, если бы Oracle слушала предупреждения индустрии безопасности на протяжении многих лет.

«Трудно сказать, что происходит в Oracle за последние годы, но на основе внешнего впечатления, которое я чувствую они могли бы отреагировать раньше », - сказал Карстен Эйрам (Carsten Eiram), главный научный сотрудник консалтинговой фирмы Risk Based Security, по электронной почте. «Я не уверен, что Oracle действительно воспринял предсказания о том, что Java является следующей серьезной целью серьезно».

Вряд ли Oracle может предотвратить недавние атаки, сказал он, но это было бы в лучшем положении, если бы оно действовало раньше чтобы защитить свой код и добавить дополнительные уровни безопасности.

«Я думаю, что текущее состояние безопасности Java связано с тем, что Sun очень сильно продвигало Java, когда они все еще владели им», - сказал Костин Райю, директор глобального исследования и аналитической группы «Лаборатории Касперского» по электронной почте. «После того, как Oracle приобрела Java, возможно, мало интереса к этому проекту».

Oracle приобрела Java, когда она купила Sun Microsystems в 2010 году. Программное обеспечение установлено на 1,1 миллиарда настольных компьютеров по всему миру, согласно информации на сайте Java.com. Его широкое развертывание и кросс-платформенный характер делают его привлекательной мишенью для хакеров. Исследователи из Исследовательской компании по безопасности, исследователи из Польши, обнаружили и сообщили о 55 уязвимостях в среде выполнения Java, поддерживаемых Oracle, IBM и Apple за последний год, из которых 36 - в версии Oracle.

«В апреле 2012 года мы сообщили о 30 проблемах безопасности для Oracle, затрагивающих Java SE 7», - сказал Адам Гоудяк, основатель службы безопасности, по электронной почте. «Примерно в то же время троянец Flashback Mac OS был найден в дикой природе. Оба должны были работать в качестве пробуждения для Oracle ».

« Лаборатория Касперского »сообщила, что в любой момент прошлого года каждый третий пользователь запускал версию Java, которая была уязвима для одного из пяти основных эксплойтов, используемых хакеры. В пиковые времена более 60 процентов пользователей имели уязвимую версию Java.

Предоставление механизма молчаливого автоматического обновления, подобного тому, который содержится в Chrome, Flash Player, Adobe Reader и другом программном обеспечении, может быть полезным для потребителей, сказал Эйрам. Тем не менее, бизнес, вероятно, отключит такие функции, сказал он.

Начиная с версии Java 7 Update 10, выпущенной в декабре, Oracle предоставила новые параметры в панели управления Java, которые позволяют пользователям отключать плагин Java из браузеров или принудительно использовать Java для попросите подтверждения, прежде чем Java-апплеты будут выполнены. Начиная с версии 7 для Java 7 значение по умолчанию для этого механизма было установлено на высокий уровень, предотвращая запуск беззнаковых Java-апплетов без подтверждения пользователя.

«Я считаю, что новые функции безопасности в Java показывают, что Oracle движется в правильном направлении », - сказал Вольфганг Кандек, технический директор Qualys, который продает продукты управления уязвимостями и соответствия политикам. Создание Java еще более настраиваемо, помогло бы ИТ-администраторам развернуть его таким образом, чтобы он соответствовал требованиям их организаций.

«Я бы приветствовал возможности белого листинга на Java, т. Е. Запретить всем, кроме одобренных сайтов, использовать механизм апплета, - сказал Кандек. «В то же время необходимо улучшить централизованное управление возможностями конфигурации Java, то есть с помощью групповой политики Windows».

Kandek полагает, что Oracle сталкивается с более серьезной проблемой в усилении Java от атак, чем другие компании-разработчики программного обеспечения их собственные продукты. «Java - это полный язык программирования и должен иметь возможность выполнять всю гамму действий … включая задачи операционной системы низкого уровня».

При этом Эйрам и Гоудяк сказали, что Oracle необходимо улучшить качество своего Java-кода с точки зрения безопасности, поскольку сейчас довольно легко найти уязвимости.

«Поставщики программного обеспечения несут ответственность за обеспечение безопасного кода определенного качества, а поставщики широко распространенного программного обеспечения, такого как Flash Player или Java, просто не имеют оправдания», Эйрам сказал. «Adobe поняла это и сделала серьезную и успешную попытку улучшить свой код. Microsoft сделала то же самое много лет назад. Пришло время для Oracle следовать этим шагам ».

Есть признаки того, что разработчики Oracle не знают о проблемах безопасности Java и что обзоры безопасности кода либо вообще не выполняются, либо недостаточно полны, сказал Гоудяк. Многие из проблем, выявленных в исследованиях безопасности, нарушают собственные правила безопасного кодирования Oracle для Java, сказал он.

«Мы обнаружили много недостатков, которые должны были быть устранены компанией во время всеобъемлющего обзора безопасности платформы до ее релиз », - сказал Говдяк.

Oracle должна внедрить надежный жизненный цикл Secure Development для Java, чтобы отсеять основные уязвимости и увеличить зрелость кода, сказал Эйрам. SDL - это процесс разработки программного обеспечения, в котором подчеркиваются обзоры безопасности кода и безопасные методы разработки для снижения уязвимостей.

Наилучший подход заключается в том, чтобы обеспечить надлежащую подготовку разработчиков, проведя внутренние тренинги, как это сделала Microsoft, и проанализировать существующий код с помощью внешних аудиторов, сказал Эйрам. «Oracle может также заключить контракт с некоторыми из опытных исследователей, которые все равно смотрят на свой код».

Oracle заявила, что ускорит цикл обновления для Java с 4 месяцев до 2 месяцев и пообещала лучше общаться с проблемами безопасности Java, всех аудиторий, включая потребителей, ИТ-специалистов, журналистов и исследователей безопасности. Длительные интервалы между обновлениями безопасности Java и отсутствием связи Oracle с безопасностью долгое время подвергались критике.

«Будет интересно посмотреть, будут ли они выполнять свое обещание лучше общаться с общественностью и прессой. Раньше они, по моему мнению, были совершенно высокомерны и отказались комментировать обнаруженные уязвимости и даже их достоверность », - сказал Эйрам.

Политика не комментирования проблем безопасности, которые, по словам Oracle, необходимы для защиты пользователи привели к тому, что пользователи не знали, были ли угрозы, угрожающие извне, реальными или о том, что Oracle делает с ними, сказал он. «Этот подход к безопасности и отзывчивости относится к предыдущему тысячелетию».

Эксперты по безопасности не ожидают, что Oracle решит все проблемы в ближайшем будущем таким образом, чтобы сдерживать нападавших.

«Я не предвижу Проблемы безопасности Java заканчиваются в ближайшее время », - сказал Эйрам. «Некоторое время понадобилось как Microsoft, так и Adobe, чтобы превратить лодку, и их продукты по-прежнему подвергаются никемным [эксплойтам] время от времени. Java предлагает много возможностей для нападающих, поэтому я ожидаю, что они будут сосредоточены на нем на данный момент ».

« Я не ожидал решений в ближайшее время », - сказал Кандек. «ИТ-администраторы должны вкладывать свое время в понимание того, где им нужна Java на рабочем столе и где они могут его ограничить».

Эксперты по безопасности согласны с тем, что Java должен быть отключен там, где он не нужен, по крайней мере, на уровне браузера. Многие пользователи даже не знают, что на их компьютерах установлена ​​Java. Вероятно, именно поэтому Google и Mozilla решили ограничить плагин Java в Chrome и Firefox, сказал Raiu.

Apple также включила в черный список уязвимые версии плагина Java в Mac OS X, а Windows имеет параметр реестра, который может ограничить использование Java в Internet Explorer для надежных веб-сайтов.

Хотя многим домашним пользователям не нужна Java в своих браузерах, люди в некоторых частях мира могут. В Дании, например, интернет-банкинг и правительственные сайты используют механизм входа в систему под названием NemID, который требует поддержки Java, сказал Эйрам. Подобные случаи могут существовать и в других странах.

В этих случаях использование функции click-to-play в Chrome и Firefox или механизм Zones в IE может использоваться для загрузки Java-контента только с определенных сайтов. Менее техническим решением будет использование одного браузера с отключенным Java для общих задач, а другой браузер с поддержкой Java для доверенных веб-сайтов, которым требуется поддержка Java.

Ограничение использования Java в корпоративных средах сложнее. Многие компании используют внутренние и внешние веб-приложения, которые требуют запуска плагина Java-браузера. Такие функции, как «щелчок к игре», не подходят для корпоративных сред, где политики необходимо централизованно управлять и применять.

«Создание большей конфигурации Java поможет ИТ-администраторам правильно внедрить Java в соответствии с требованиями организации», - сказал Кандек. «Высокие уровни безопасности по умолчанию и простое отключение от браузера - это хороший старт, но я считаю, что нам нужно будет улучшить возможности браузера или плагинов с поддержкой белого списка».

На данный момент механизм зоны в IE предлагает наиболее масштабируемые возможности управления плагином Java в корпоративных средах, сказал Кандек.

Недавняя волна атак на основе Java, включая те, которые привели к нарушениям безопасности в Microsoft, Facebook, Apple и Twitter, возможно, повредила Java репутация, сказал Эйрам. Но если компании уверены в том, что Java является безопасным и безопасным, «они ненадолго прислушиваются к многочисленным предупреждениям, предоставленным исследователями», - сказал он.

Возможно, это была не только репутация Java. Вероятно, некоторые компании спрашивают, отражена ли низкая безопасность Java в других продуктах Oracle, сказал Гоудяк.

Эйрам надеется, что недавние атаки заставят компании переоценить, нужна ли им Java в их среде.

«Компании в целом переносятся на чистые приложения на основе HTML5 и удаляются от плагинов, таких как Flash, Silverlight и Java », - сказал Кандек. «Java будет продолжать расти на стороне сервера, где ее мощные возможности обработки абсолютно необходимы».