Forskere: Javas sikkerhetsproblemer er ikke sannsynlig å bli løst snart

Hackere har siden utbruddet utnyttet sårbarheter i Java å gjennomføre en rekke angrep mot selskaper, inkludert Microsoft, Apple, Facebook og Twitter, samt hjemmebrukere. Oracle har gjort en innsats for å reagere raskere på truslene og for å styrke sin Java-programvare, men sikkerhetseksperter sier at angrepene ikke er lurt å la opp når som helst snart.

Sikkerhetsforskere sa hackerne bak den nylig avslørte MiniDuke cyberespionage-kampanjen brukte nettbaserte utnytter for Java og Internet Explorer 8, sammen med en Adobe Reader-utnyttelse, for å kompromissere sine mål. I fjor smittet MiniDuke malware 59 datamaskiner som tilhører regjeringsorganisasjoner, forskningsinstitutter, tenketanker og private selskaper fra 23 land.

Java-utnyttelsen som ble brukt av MiniDuke, målrettet mot et sikkerhetsproblem som ikke var lappet av Oracle på tidspunktet for angrepene, sa Kaspersky Lab i et blogginnlegg. Sårbarheter som publiseres eller utnyttes før en oppdatering utgis, er kjent som nulldagssårbarheter, hvorav flere er blitt brukt i angrepene mot Java i år.

[Videre lesing: Slik fjerner du skadelig programvare fra Windows-PCen]

I februar har programvareingeniører fra Microsoft, Apple, Facebook og Twitter jobbet med bærbare datamaskiner infisert med skadelig programvare etter å ha besøkt et fellesskapsside for iOS-utviklere som hadde blitt rigget med en Java-nulldagsutnyttelse. Bruddene var resultatet av et større angrep på vannet fra flere nettsteder som også berørte myndigheter og selskaper i andre næringer, rapporterte Security Ledger.

Oracle har svart på angrepene ved å utstede to nødsikkerhetsoppdateringer siden begynnelsen av året og akselerere utgivelsen av en planlagt oppdatering. Det har også hevet standardinnstillingen til sikkerhetskontrollene for Java-applets for høy, slik at webbaserte Java-applikasjoner ikke kjøres inne i nettlesere uten brukerbekreftelse.

Sikkerhetseksperter sier at dette er en god start, men tror det skal gjøres mer for å øke vedtakshastigheten for oppdateringer og for å forbedre styringen av Java-sikkerhetskontroller i bedriftsmiljøer. Enda viktigere, sier de, Oracle bør gjennomgå sin Java-kode grundig for å identifisere og rette de grunnleggende sikkerhetsproblemene. De tror at Java ville være sikrere i dag hvis Oracle hadde lyttet til sikkerhetsindustriens advarsler gjennom årene.

"Det er vanskelig å si hva som har foregått internt i Oracle de siste årene, men basert på et eksternt inntrykk jeg føler De kunne ha reagert tidligere, sier Carsten Eiram, sjefsforsker ved konsulentfirmaet Risk Based Security, via e-post. "Jeg er ikke sikker på at Oracle virkelig tok spådommene om at Java skulle være det neste store målet på alvor." Det er usannsynlig at Oracle kunne ha forhindret de siste angrepene, sa han, men det ville være i en bedre posisjon hvis det hadde handlet før for å sikre sin kode og legge til flere sikkerhetslag.

"Jeg tror den nåværende tilstanden til Java-sikkerhet skyldes at Sun presset Java veldig sterkt da de fortsatt eide det," sier Costin Raiu, direktør for global forskning og analyseteam på Kaspersky Lab, via e-post. "Etter at Oracle kjøpte Java, gikk det kanskje liten interesse i dette prosjektet."

Oracle kjøpte Java når den kjøpte Sun Microsystems i 2010. Programvaren er installert på 1,1 milliarder stasjonære datamaskiner over hele verden, ifølge informasjon på Java.com. Den utbredte distribusjonen og plattformen gjør det til et attraktivt mål for hackere. Forskere ved Security Explorations, et polsk sårbarhetsforskningsfirma, har funnet og rapportert 55 sårbarheter i Java-kjøretidene vedlikeholdt av Oracle, IBM og Apple i løpet av det siste året, 36 av dem i Oracle versjon.

"I april 2012 rapporterte vi 30 sikkerhetsproblemer til Oracle som påvirket Java SE 7," Adam Gowdiak, Security Explorations grunnlegger, sa via e-post. "Dette var rundt samme tid som Flashback Mac OS trojanen ble funnet i naturen. Begge burde ha jobbet som en våkne samtale for Oracle. "

Kaspersky Lab har rapportert at en av de tre brukerne til enhver tid kjørte en versjon av Java som var sårbar for en av de fem store utnyttelsene som ble brukt av hackere. I toppetider hadde over 60 prosent av brukerne en sårbar Java-versjon installert.

Det kan være nyttig for forbrukerne å gi en stille, automatisk oppdateringsmekanisme som det som finnes i Chrome, Flash Player, Adobe Reader og annen programvare, sier Eiram. Men virksomheter vil sannsynligvis deaktivere slike funksjoner, sa han.

Fra og med Java 7 Update 10, utgitt i desember, har Oracle gitt nye muligheter i Java-kontrollpanelet som tillater brukere å deaktivere Java-plugin fra nettlesere eller tvinge Java til Be om bekreftelse før Java-applets execute. Siden Java 7 Update 11 er standardinnstillingen for denne mekanismen satt til høy, slik at ikke-signerte Java-applets kjører automatisk uten brukerbekreftelse.

"Jeg tror de nye sikkerhetsfunksjonene i Java viser at Oracle beveger seg i riktig retning, sier Wolfgang Kandek, CTO of Qualys, som selger sårbarhetsstyring og policyoverensstemmelsesprodukter. Gjør Java enda mer konfigurerbar. Det vil hjelpe IT-administratorer til å distribuere det på en måte som tilfredsstiller kravene til deres organisasjoner.

"Jeg ønsker velkommen hvitlistingsfunksjoner i Java, dvs. forby alle godkjente nettsteder for å bruke appletmekanismen, "Sa Kandek. "Samtidig må sentral styring av Java-konfigurasjonsfunksjonene, det vil si via Windows GPO [Gruppepolicy], forbedres."

Kandek mener at Oracle står overfor en større utfordring i å hevde Java mot angrep enn andre programvarefirmaer gjorde med sine egne produkter. "Java er et komplett programmeringsspråk og må kunne utføre hele spekteret av handlinger … inkludert operasjoner på lavt nivå."

Når det er sagt, sa Eiram og Gowdiak begge at Oracle må forbedre kvaliteten på sin Java-kode fra et sikkerhetsperspektiv, fordi det nå er relativt enkelt å finne sårbarheter.

"Programvareleverandører har ansvar for å gi sikker kode av en viss kvalitet, og leverandører av distribuert programvare som Flash Player eller Java har rett og slett ingen unnskyldning," Eiram sa. "Adobe realiserte dette og har gjort en seriøs og vellykket innsats for å forbedre sin kode. Microsoft gjorde det samme for mange år siden. Det er på tide for Oracle å følge i disse fotsporene. "

Det er tegn på at Oracle utviklere ikke er klar over Javas sikkerhetsgruver, og at kodekonservasjonsrapporter ikke er gjort i det hele tatt eller ikke omfattende nok, sa Gowdiak. Mange av problemene som er identifisert av Security Explorations bryter med Oracles egne sikre kodingsretningslinjer for Java, sa han.

"Vi fant mange feil som burde ha blitt eliminert av selskapet på tidspunktet for en omfattende sikkerhetsvurdering av plattformen før den ble gjennomført frigjøre, sier Gowdiak.

Oracle bør implementere en solid sikkerhetslivssyklus for Java for å utrydde grunnleggende sårbarheter og øke kodenes modenhet, sa Eiram. En SDL er en programvareutviklingsprosess som legger vekt på kodesikkerhetsvurderinger og sikre utviklingspraksis for å redusere sårbarheter.

Den beste tilnærmingen ville være å sikre at utviklere er riktig opplært ved å holde interne treningsøkter, som Microsoft gjorde, og å gjennomgå den eksisterende koden Med hjelp fra eksterne revisorer, sa Eiram. "Oracle kan også samle noen av de dyktige forskerne som ser på koden deres uansett."

Oracle har sagt at det vil akselerere patching-syklusen for Java fra 4 måneder til 2 måneder og lovet å kommunisere bedre om Java-sikkerhetsproblemer med alle publikum, inkludert forbrukere, IT-fagfolk, presse- og sikkerhetsforskere. De lange intervaller mellom Java-sikkerhetsoppdateringer og Oracle manglende kommunikasjon om sikkerhet har lenge blitt kritisert.

"Det vil være interessant å se om de vil respektere sitt løfte om å kommunisere bedre med publikum og presse. Tidligere har de - etter min mening - vært rett og slett arrogant og nektet å kommentere rapporterte sårbarheter, og til og med deres gyldighet, sa Eiram.

Politikken om å ikke kommentere sikkerhetsproblemer, som Oracle sa var nødvendig for å beskytte brukere, resulterte i at brukere ikke visste om eksternt rapporterte trusler var ekte eller hva Oracle gjorde med dem, sa han. "Denne tilnærmingen til sikkerhet og lydhør hører til i det forrige årtusen."

Sikkerhetseksperter forventer ikke at Oracle løser alle problemene i nær fremtid på en måte som vil avskrekke bestemte angripere.

"Jeg forutser ikke Javas sikkerhetsproblemer slutter helst snart, sa Eiram. "Det tok både Microsoft og Adobe en stund å skru båten rundt, og deres produkter er fortsatt gjenstand for nulldag [utnytter] nå og da. Java har mye å tilby angripere, så jeg forventer at de skal holde fokus på det for nå. "

" Jeg ville ikke forvente løsninger når som helst snart, "sa Kandek. "IT-administratorer bør investere sin tid til å forstå hvor de trenger Java på skrivebordet, og hvor de kan begrense det."

Sikkerhetseksperter er enige om at Java skal deaktiveres der det ikke er nødvendig, i hvert fall på nettlesernivå. Mange brukere vet ikke engang at de har Java installert på sine datamaskiner. Det er trolig hvorfor Google og Mozilla valgte å begrense Java-pluginet i Chrome og Firefox, sier Raiu.

Apple har også svartlistede sårbare versjoner av Java-pluginet på Mac OS X, og Windows har en registerinnstilling som kan begrense Java-bruk i Internet Explorer til pålitelige nettsteder.

Selv om mange hjemmebrukere ikke trenger Java i nettleserne, kan folk i enkelte deler av verden. I Danmark bruker for eksempel nettbank og offentlige nettsteder en innloggingsmekanisme kalt NemID som krever Java-støtte, sa Eiram. Lignende tilfeller kan eksistere i andre land.

I slike tilfeller kan bruk av klikk-til-spill-funksjonen i Chrome og Firefox, eller Zones-mekanismen i IE, brukes til å la Java-innhold lastes fra bare bestemte nettsteder. En mindre teknisk løsning ville være å bruke en nettleser med Java deaktivert for generelle oppgaver, og en annen nettleser med Java aktivert for pålitelige nettsteder som trenger Java-støtte.

Det er vanskeligere å begrense bruken av Java i bedriftsmiljøer. Mange bedrifter bruker interne og eksterne nettbaserte applikasjoner som krever at Java-nettleserpluggen skal kjøre. Funksjoner som klikk-til-spill er ikke egnet for bedriftsmiljøer der politikk må styres sentralt og håndheves.

"Å gjøre Java mer konfigurerbar, vil hjelpe IT-administratorer å distribuere Java på riktig måte for organisasjonens krav," sa Kandek. "Høyere standard sikkerhetsnivåer og den enkle koble fra nettleseren er en god start, men jeg tror vi må forbedre hvittoppføringsfunksjonene til nettlesere eller Java-pluginene."

For øyeblikket er Sone-mekanismen i IE Den nyeste bølgen av Java-baserte angrep, inkludert den som resulterte i sikkerhetsbrudd på Microsoft, Facebook, Apple og Twitter, kan ha skadet Java's rykte, sa Eiram. Men hvis bedrifter hadde tillit til Java som trygg og sikker, "har de ikke fulgt de mange advarslene fra forskere om en stund," sa han.

Det er ikke bare Javas rykte som kan ha blitt skadet. Det er sannsynlig at noen selskaper spør om Java's dårlige sikkerhet gjenspeiles i andre Oracle-produkter, sier Gowdiak.

Eiram håper de siste angrepene vil føre til at bedrifter vurderer om de trenger Java i sine omgivelser.

"Selskaper generelt migrerer til rene HTML5-baserte applikasjoner og beveger seg bort fra plugins som Flash, Silverlight og Java, "sa Kandek. "Java vil fortsette å vokse på server siden, der den kraftige behandlingen evnen er absolutt nødvendig."